因此,我正在努力从我们的域控制器获取 DNS 日志,以便将它们发送到我们的 SIEM。此操作已成功完成,但是,由于 Microsoft 的限制,需要将设置设置为“不覆盖事件(手动清除)”。
这对域控制器来说是一个问题,因为日志会随着时间的推移不断累积并填满服务器。我需要按计划自动执行清除日志的过程。
我尝试清除的日志 - %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-DNSServer%4Analytical.etl
我的第一个方法是使用 Powershell 短暂禁用日志服务,删除该文件,然后重新启用该服务。但是,我发现即使禁用该服务后,Windows 也不允许我删除日志。
我的同事发现,在设置中暂时禁用并重新启用日志记录将清除该文件。
我对 Powershell 还不熟悉,我愿意从中学习,但我想知道是否有人知道如何清除此 .etl 文件?或者也许使用我的同事建议的方法来禁用和重新启用日志,有没有办法通过 Powershell 自动执行此操作?
非常感谢您的意见!