使用 WEVTUTIL.EXE 导出 Windows Server 2008 安全事件日志时,出现权限问题(我有管理员权限):
c:> wevtutil epl security test.evtx
“无法导出日志安全。访问被拒绝。”
我正在尝试编写一个脚本来备份和清除应用程序、安全、设置和系统事件日志。安全日志是唯一出现问题的日志。我该如何备份和清除它?我想知道“正确”的方法来做这件事,因为我不想让安全人员(审计员、取证人员等)不高兴。
答案1
通过使用组策略或计算机上的本地策略,转到
Computer Configuration ->
Administrative Templates ->
Windows Components ->
Event Log Service ->
[Application|Security|Setup|System]
并配置设置“日志满时自动备份”。
此策略设置控制日志文件达到其最大大小时的事件日志行为,并且仅在启用“保留旧事件”策略设置时才生效。
如果启用此策略设置并且启用了“保留旧事件”策略设置,则事件日志文件在已满时会自动关闭并重命名。然后启动一个新文件。
如果禁用此策略设置并且启用“保留旧事件”策略设置,则会丢弃新事件并保留旧事件。
如果未配置此策略设置并且启用了“保留旧事件”策略设置,则会丢弃新事件并保留旧事件。
然后,您的脚本需要做的就是定期收集存档事件日志文件的目录并将其传输到您的网络共享。