事件日志的组策略设置

事件日志的组策略设置

在 Windows Server 2008 R2 标准版域控制器上,装有 Windows 7 和 Windows XP 客户端,保留以下Event Log文件设置是否“可以”?

GPMGMT 截图

那么将应用哪种设置?Maximum log size1 GB 或之间Retain Log to 30 days,哪个将优先?

答案1

不,你不应该这样设置你的日志,并且两个都将适用。您的Event Logs最大大小将为~1 GiB,事件将在 30 天后被覆盖。很有可能,这意味着您的日志永远不会达到最大大小,因为它们会每 30 天自我覆盖一次,远在达到最大大小之前。(除非您对所有内容都有非常详细的日志记录,否则您可能会在 30 天内用日志填满 GiB。)

按天保留实际上只有在您按天归档日志的情况下才有用,正如解释所说,x因为这样您的服务器事件日志将只包含未在归档副本中的事件。你不得不问这个问题,这说明你不太可能遇到这种情况。

相反,你应该 [可能] 将日志文件设置Retention methodOverwrite event as needed并保持retain [type] log设置未定义。当它们达到最大大小时,它们不会阻止系统启动,而是会覆盖最旧的事件。

按天数保留日志的说明

顺便说一句,你应该阅读这些解释和其他文档。通常情况下,这些解释和文档的存在就是为了防止你因为不了解情况而自食其果。

答案2

尽管 Joe 的回答可能充满自信,文笔流畅——而且我真的想相信他,但我认为他错了。我回去仔细重读了这些 GPO 项目的解释。我很清楚,“保留安全日志”和“保留方法……”GPO 项目显然针对的是事件(日志中的单个行项目),而不是存档日志文件本身(当您在事件日志的属性中选择“满时存档日志,不覆盖事件”时创建的)。

如果您按计划手动(或以编程方式)归档日志,但又不想手动进入日志并清除它,那么您当然希望它在每次归档/备份后“重新开始”。因此,“保留安全日志”对“确定要保留的事件天数……”和“保留方法”的“日志的‘包装’方法”的解释是针对事件,而不是归档。

答案3

千万不要理会那个建议将日志保留为“按需覆盖”的人。这是非常糟糕的建议。Param,你走在正确的轨道上。这些设置很好。事件日志的文件大小规范是可以接受的。30 天的保留策略也很好 - 但完全取决于您组织的保留策略。

给出糟糕建议的人没有意识到,保留方法设置不会影响“活动”事件日志文件。它只影响“存档”事件日志,即事件日志的保留副本。一旦事件日志达到指定容量,Windows 就会复制事件日志并将其标记为“存档”,然后清除活动事件日志文件。保留策略仅影响存档事件日志文件。您需要注意驱动器容量。根据系统生成的日志数量,事件日志所在的驱动器可能会很快被填满。最佳做法是指定一个单独的大容量驱动器,并将存档事件的备份作业运行到该驱动器。

覆盖事件日志是一个重大的安全问题。

相关内容