我在 VM 实验室里闲逛并使用 graylog sidecar(监视 Windows 事件日志并将事件转发到中央日志收集器的进程),我遇到一种情况,我想将某个日志发送到中央系统,但我不希望该事件存储在本地系统上?
我将使用事件 ID 5154 作为示例。我想集中保留这些事件,但启用后,它会导致 Windows 事件日志频繁轮换,从而妨碍对系统事件日志的手动调查。
是否可以做以下其中一件事:
- 配置 Windows 以记录 5154 但仅保留该类型的最大事件数?例如,不是以固定大小轮换日志,而是以 10,000 条记录轮换该事件的条目?
- 配置 Windows 以这样一种方式“记录”事件,使得日志转发代理(或 WEF?对其机制不太熟悉)可以看到该事件,但不会使本地 Windows 日志变得混乱?
感谢任何帮助!
答案1
不,这是不可能的。您可以使用审计策略控制首先记录哪些事件,但不能只长期保留某些事件。
首先,Windows 事件日志如何知道事件已成功发送到后端数据库?
其次,它还会破坏事件日志的完整性,因为每个事件都有一个序列号。
您唯一的选择是经常备份本地事件日志并对其进行压缩以节省空间。我不确定如果您要将事件日志发送到远程目的地,为什么还需要在本地保留它们?