我正在使用 Windows Server 21H2 来审核对文件夹、文件和子文件夹的访问。
如果在事件查看器中右键单击安全性并转到属性,我可以配置事件文件的大小并选择是否要存档或覆盖旧记录。我选择了覆盖旧记录,日志的大小为默认值 20MB。
我意识到,在大约 3 小时内,它创建了大约 20 个 20MB 的文件,大约 400MB,所以它太大了。我猜是因为它将所有安全事件记录在同一个日志中。
所以我想知道我是否可以配置不同的策略来保存日志。我希望为事件 4660 和 4663 设置一个用于访问文件的策略,为其余事件设置另一个策略,排除其他两个事件。这样我就可以为事件 4660 和 4663 提供更多空间,而其余事件保留默认设置。
是否可以针对安全事件创建不同的策略?