我在使用 Windows 中的事件查看器控制台时遇到了问题。
Windows 版本是 Windows Server 2019。
该服务器的目的是提供从信息系统收集的 Windows 事件日志。这些日志经过过滤然后解析为 SIEM。
因此,该服务器必须处理比在传统 Windows 安装中通常会发现的更大的日志文件。
必须增加多个日志文件的大小限制。每个日志文件的限制约为 25GB
标准大小限制约为 20MB。
这对于维护目的是必要的。如果我们必须关闭 SIEM 和 Windows 事件收集器之间的连接。例如,当 SIEM 重新启动或我们有几分钟的停机时间时,WEC 将充当缓冲区。
现在的问题是:当我们在服务器上打开事件查看器控制台时,程序正在尝试在 RAM 中加载一些内容,但由于日志文件的大小,加载需要很长时间。最终服务器达到 100% 的 RAM 并且此时无法正常工作。
由于日志文件的大小,事件查看器无法正常打开
我该怎么做才能正常使用事件查看器控制台?
我可以调整事件查看器控制台,以便它在启动时不会尝试加载太多东西吗?(在某些设置或注册表中?)因为到最后我并不是来查看日志的。我只想管理订阅。我们可以减小日志文件的大小,但我们想避免这种情况。
我现在要做的就是配置订阅
“但是,您可以在 CLI 中执行此操作!”
是的,有些东西可以通过wecutil
powershell 进行管理,我也想使用它。事实上,对于某些设置,我已经在使用它了。但如果我想管理源启动的订阅计算机。这涉及选择计算机 AD 组。看起来我无法使用 CLI 来做到这一点。(如果您有方法,我想听听!)
希望有人能帮忙:)
答案1
您应该设置选项来自动存档日志文件,这样事件查看器打开的日志文件就不会太大。
我在我管理的 HIPAA 环境中这样做,以记录几年来来自各地的所有登录(成功或错误)。
顺便说一下,存档的日志文件仍然可以浏览,并且您可以将它们存储到非系统驱动器。
答案2
我最终能够使用它wecutil
来将我想要做的更改应用到订阅中。
我想在允许的源计算机级别应用更改。
我需要从内置计算机 AD 组更改为我自己创建的计算机安全组。
为此我需要使用以下命令恢复组的 SID:
Get-WMIObject win32_group -filter "name='computergroup'"|select Name,sid
然后我用这条信息编辑了订阅。
wecutil ss subname /adc:"[SDDL string + SID]"
wecutil
再次强调,只要我能用它做任何事情,我就可以接受 WEC 服务器上的事件查看器损坏wevtutil