我正在尝试为 Eventlog 创建一个存档,但似乎不起作用。
服务器 2k12 R2 环境。
以下是我已启用的 GPO:
我已重启服务器,并使用“gpresult /r /scope computer”确保它已应用。我还使用 gpedit.msc 在本地进行了检查,并且相同的设置已成功传播。不幸的是,除了弹出“审核日志已满”之外,日志不断被覆盖。
我还要提一下,所有日志当前的大小都是 100MB。
编辑:我启动了进程监视器并发现了这一点:
我觉得这太奇怪了。为什么它可以写入 Security.evtx 但不能创建新文件?如果系统对该目录拥有完全控制权,可能会缺少什么?
答案1
解决方案:
ICACLS C:\Windows\System32\winevt\logs /grant *S-1-5-80-880578595-1860270145-482643319-2788375705-1540778122:(F)
Eventlog 似乎由名为 Eventlog 的安全组控制。我不知道为什么,但它对 eventlog 目录根本没有权限。
请注意,出于某种原因,这并没有为目录添加实际权限。执行后,我必须手动勾选“eventlog”组的“完全权限”。另请注意,您可以使用“NT SERVICE\EVENTLOG”手动添加它。