(Windows)处理巨大日志文件时如何启动事件查看器 GUI 控制台?

(Windows)处理巨大日志文件时如何启动事件查看器 GUI 控制台?

我在使用 Windows 中的事件查看器控制台时遇到了问题。

Windows 版本是 Windows Server 2019。

该服务器的目的是提供从信息系统收集的 Windows 事件日志。这些日志经过过滤然后解析为 SIEM。

因此,该服务器必须处理比在传统 Windows 安装中通常会发现的更大的日志文件。

必须增加多个日志文件的大小限制。每个日志文件的限制约为 25GB

标准大小限制约为 20MB。

这对于维护目的是必要的。如果我们必须关闭 SIEM 和 Windows 事件收集器之间的连接。例如,当 SIEM 重新启动或我们有几分钟的停机时间时,WEC 将充当缓冲区。

现在的问题是:当我们在服务器上打开事件查看器控制台时,程序正在尝试在 RAM 中加载一些内容,但由于日志文件的大小,加载需要很长时间。最终服务器达到 100% 的 RAM 并且此时无法正常工作。

由于日志文件的大小,事件查看器无法正常打开

我该怎么做才能正常使用事件查看器控制台?

我可以调整事件查看器控制台,以便它在启动时不会尝试加载太多东西吗?(在某些设置或注册表中?)因为到最后我并不是来查看日志的。我只想管理订阅。我们可以减小日志文件的大小,但我们想避免这种情况。

我现在要做的就是配置订阅

“但是,您可以在 CLI 中执行此操作!”

是的,有些东西可以通过wecutilpowershell 进行管理,我也想使用它。事实上,对于某些设置,我已经在使用它了。但如果我想管理源启动的订阅计算机。这涉及选择计算机 AD 组。看起来我无法使用 CLI 来做到这一点。(如果您有方法,我想听听!)

希望有人能帮忙:)

答案1

您应该设置选项来自动存档日志文件,这样事件查看器打开的日志文件就不会太大。

我在我管理的 HIPAA 环境中这样做,以记录几年来来自各地的所有登录(成功或错误)。

顺便说一下,存档的日志文件仍然可以浏览,并且您可以将它们存储到非系统驱动器。

答案2

我最终能够使用它wecutil来将我想要做的更改应用到订阅中。

我想在允许的源计算机级别应用更改。

我需要从内置计算机 AD 组更改为我自己创建的计算机安全组。

为此我需要使用以下命令恢复组的 SID:

Get-WMIObject win32_group -filter "name='computergroup'"|select Name,sid

然后我用这条信息编辑了订阅。

wecutil ss subname /adc:"[SDDL string + SID]"

wecutil再次强调,只要我能用它做任何事情,我就可以接受 WEC 服务器上的事件查看器损坏wevtutil

相关内容