Windows事件日志轮换?

9

Windows Server 2003。

有什么方法可以轻松旋转事件日志(或自动清除并保存)?我正在对这台计算机进行一些审核,并且我的安全日志很快变得非常真实,每隔两周我都必须记得保存并清除它。

是的,我可以依靠备份作业并启用覆盖功能……但是,如果我可以让Windows在容量接近极限时自动保存并清除日志,那就更好了。

windows-server-2003  windows-event-log 
博登
source

Answers:

12

似乎大多数人都不了解此功能,但如果如此配置,Windows会自动旋转日志文件。在此文件中查找“ AutoBackupLogFiles”。

您可以在服务器对服务器的基础上进行配置,但这对于大量服务器而言是乏味的。我创建了一个管理模板来在服务器计算机上进行设置,然后编写了启动脚本,以添加计划任务以定期提取,ZIP并将日志文件移动到保留位置。它真的很好用,而且便宜!

http://mx02.wellbury.com/misc/EventLogPolicy.adm

埃文·安德森(Evan Anderson)
source
+1贴士。我将尝试一下。
kentchen
这仅适用于2008 / Vista还是适用于2000 / XP / 2003?保留政策应设置为什么?
msvcyc
1
我从未在Server 2008或Vista上尝试过此操作。它在Server 2003和2000上运行良好,微软表示在Windows XP上运行。要在2003 / XP / 2000上运行,保留设置必须为0xffffffff。您可以从以下位置查看来自Microsoft的更多详细信息:msdn.microsoft.com/zh-cn/library/aa363648(VS.85).aspx
Evan Anderson,2009年
1
我希望能有一些教我如何自行配置而不是下载ADM文件的人
Jonathan
2

这是一个VBS脚本,它将保存您的事件日志并清除它。将其放在预定任务中。请注意,特定事件日志是在脚本的第3行中指定的,显然您将需要调整目标路径。

来自MSDN的代码“借用”(即被盗)。

strComputer = "."
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate,(Backup)}!\\" & strComputer & "\root\cimv2")
Set colLogFiles = objWMIService.ExecQuery("Select * from Win32_NTEventLogFile Where LogFileName='Application'")
For Each objLogfile in colLogFiles
    errBackupLog = objLogFile.BackupEventLog("c:\\application" & year(Now) & "_" & month(Now) & "_" & day(Now) & "_" & hour(now) & "_" & minute(now) & ".evt")
    objLogFile.ClearEventLog
Next
鞘人
source
0

要查看自定义ADM模板的可配置选项,您可能需要单击“查看”菜单,然后取消选中“仅显示可以完全管理的策略设置”。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.