我想为域中所有计算机的安装日志设置最大大小,但在组策略中,我只看到 GPO 设置的最大应用程序、安全和系统日志。有没有办法在 GPO 中设置最大安装日志大小,或者以其他方式复制到域中的所有计算机?
答案1
事件日志的一个特点是,应用程序、安全和系统是“管理”事件日志,而设置日志是“操作”事件日志。这就是为什么并非所有特性和功能都同样适用于所有日志的原因。
我没有看到通过 GPO 设置此项的简单、内置方法,但如果您有足够的决心,肯定有办法改变它,并且您可以通过组策略推动这些更改。
通过 Powershell 将安装日志增大 64KB:
$EL = Get-WinEvent -ListLog Setup
$EL.MaximumSizeInBytes += 64KB # Must be a factor of 64KB
$EL.SaveChanges()
或者,通过注册表修改它。您不会HKLM\SYSTEM\CurrentControlSet\Services\EventLog像预期的那样在 中找到操作事件日志条目。相反,您会在 下找到它们HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels。在Setup子项下,您将找到一个名为 的 DWORD 值MaxSize。只需将该项更改为类似于 的内容,0x00200000 (2097152)如果您希望最大日志文件大小为 2048KB。请记住,该值必须为64KB的因数。
我个人会选择通过组策略来推动注册表更改,因为这比客户端处理速度快得多。
这是一篇很棒的 Microsoft 博客文章,介绍了如何通过组策略推动自定义注册表更改,如果您愿意的话,甚至可以创建自己的自定义管理模板: