Windows Server 2003。
有什么方法可以轻松轮换事件日志(或自动清除和保存)?我正在对这台机器进行一些审计,我的安全日志很快就变得很大,每隔几周我就得记得保存和清除它。
是的,我可以依靠备份作业并启用覆盖...但如果我可以让 Windows 在日志接近容量时自动保存并清除日志,那就更好了。
答案1
似乎大多数人都不知道此功能,但如果配置了此功能,Windows 将自动轮换日志文件。在此文件中查找“AutoBackupLogFiles”。
您可以逐台服务器配置此功能,但对于大量服务器来说,这很繁琐。我创建了一个管理模板来在服务器计算机上设置此功能,然后编写了一个启动脚本来添加计划任务,以定期提取、压缩和移动日志文件到保留位置。它确实很有效,而且很便宜!
答案2
这是一个 VBS 脚本,它将保存您的事件日志并清除它。将其放入计划任务中。请注意,特定事件日志在脚本的第 3 行中指定,并且您显然需要调整目标路径。
代码“借用”(即偷取)自微软。
strComputer = "."
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate,(Backup)}!\\" & strComputer & "\root\cimv2")
Set colLogFiles = objWMIService.ExecQuery("Select * from Win32_NTEventLogFile Where LogFileName='Application'")
For Each objLogfile in colLogFiles
errBackupLog = objLogFile.BackupEventLog("c:\\application" & year(Now) & "_" & month(Now) & "_" & day(Now) & "_" & hour(now) & "_" & minute(now) & ".evt")
objLogFile.ClearEventLog
Next
答案3
要查看自定义 ADM 模板的可配置选项,您可能需要单击“查看”菜单,然后取消选中“仅显示可以完全管理的策略设置”。