我有几个关于 Windows 事件日志和服务器 2008 最佳实践的权限以及 2008 中的用户的问题。
我试图将 EVTLogs 写入另一个驱动器而不是默认驱动器。当我将日志重定向到另一个驱动器(通过 rt-click、属性、更改路径)而不是默认的 C: 时,除非 server\users 有权访问日志正在写入的文件夹,否则它们无法写入。具体来说,用户具有以下权限:创建文件/写入数据;创建文件夹/附加数据;遍历文件夹/执行文件;列出文件夹/读取数据;读取属性;读取扩展属性。
如果文件夹没有此权限,那么即使作为服务器上的管理员,文件夹也会显示锁定图标,并且 EVTLogs 不会写入此文件夹。在 2003 中,仅拥有具有这些权限的 SYSTEM 似乎就可以解决问题,但在 2008 中这似乎还不够。那么用户到底是什么?在 2008 中将 EVTLogs 写入另一个驱动器的一些最佳实践是什么?
答案1
在 Windows Server 2008 中,有一个新的虚拟帐户用于管理日志文件。您需要授予“NT SERVICE\eventlog”对新日志文件夹的以下权限:
允许除“删除”、“更改权限”和“取得所有权”之外的所有权限。将权限应用于“此文件夹、子文件夹和文件”。日志文件的所有者应为“本地服务”。