审计日志已满 - Eventlog 存档 GPO 不起作用

审计日志已满 - Eventlog 存档 GPO 不起作用

我正在尝试为 Eventlog 创建一个存档,但似乎不起作用。

服务器 2k12 R2 环境。

以下是我已启用的 GPO:

Windows 事件日志存档 GPO

我已重启服务器,并使用“gpresult /r /scope computer”确保它已应用。我还使用 gpedit.msc 在本地进行了检查,并且相同的设置已成功传播。不幸的是,除了弹出“审核日志已满”之外,日志不断被覆盖。

我还要提一下,所有日志当前的大小都是 100MB。

编辑:我启动了进程监视器并发现了这一点:

在此处输入图片描述

我觉得这太奇怪了。为什么它可以写入 Security.evtx 但不能创建新文件?如果系统对该目录拥有完全控制权,可能会缺少什么?

答案1

解决方案:

ICACLS C:\Windows\System32\winevt\logs /grant *S-1-5-80-880578595-1860270145-482643319-2788375705-1540778122:(F)

Eventlog 似乎由名为 Eventlog 的安全组控制。我不知道为什么,但它对 eventlog 目录根本没有权限。

请注意,出于某种原因,这并没有为目录添加实际权限。执行后,我必须手动勾选“eventlog”组的“完全权限”。另请注意,您可以使用“NT SERVICE\EVENTLOG”手动添加它。

相关内容