Windows-Ereignisprotokollrotation?

9

Windows Server 2003.

Gibt es eine Möglichkeit, Ereignisprotokolle einfach zu drehen (oder automatisch zu löschen und zu speichern)? Ich mache ein bisschen Auditing auf diesem Computer und mein Sicherheitsprotokoll wird sehr schnell sehr groß und alle paar Wochen muss ich daran denken, es zu speichern und zu löschen.

Ja, ich könnte mich auf Sicherungsjobs verlassen und das Überschreiben aktivieren ... aber es wäre schöner, wenn ich Windows dazu bringen könnte, das Protokoll automatisch zu speichern und zu löschen, wenn es sich der Kapazität nähert.

Boden
quelle

Antworten:

12

Es scheint, dass die meisten Leute nichts über diese Funktion wissen, aber Windows dreht die Protokolldateien automatisch, wenn sie so konfiguriert sind. Suchen Sie in dieser Datei nach "AutoBackupLogFiles".

Sie können dies Server für Server konfigurieren, dies ist jedoch für eine große Anzahl von Servern mühsam. Ich habe eine Verwaltungsvorlage erstellt, um dies auf Servercomputern festzulegen, und dann ein Startskript per Skript erstellt, um eine geplante Aufgabe hinzuzufügen, mit der die Protokolldateien regelmäßig abgerufen, komprimiert und an einen Aufbewahrungsort verschoben werden können. Es hat sehr gut funktioniert und war billig!

http://mx02.wellbury.com/misc/EventLogPolicy.adm

Evan Anderson
quelle
+1 Netter Tipp. Ich werde es versuchen.
Kentchen
Funktioniert dies nur unter 2008 / Vista oder auch unter 2000 / XP / 2003? Wie sollte die Aufbewahrungsrichtlinie festgelegt werden?
msvcyc
1
Ich habe dies noch nie auf Server 2008 oder Vista versucht. Es funktioniert gut unter Server 2003 und 2000, und Microsoft sagt, dass es unter Windows XP funktioniert. Die Aufbewahrungseinstellung muss 0xffffffff sein, damit sie unter 2003 / XP / 2000 funktioniert. Weitere Informationen von Microsoft finden Sie unter: msdn.microsoft.com/en-us/library/aa363648(VS.85).aspx
Evan Anderson
1
Ich wünschte, es gäbe Anweisungen, wie man es selbst konfiguriert, anstatt eine ADM-Datei herunterzuladen
Jonathan
2

Hier ist ein VBS-Skript, mit dem Sie Ihr Ereignisprotokoll speichern und löschen können. Fügen Sie dies in eine geplante Aufgabe ein. Beachten Sie, dass das spezifische Ereignisprotokoll in Zeile 3 des Skripts angegeben ist und dass Sie den Zielpfad offensichtlich anpassen möchten.

Code "ausgeliehen" (dh gestohlen) von MSDN .

strComputer = "."
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate,(Backup)}!\\" & strComputer & "\root\cimv2")
Set colLogFiles = objWMIService.ExecQuery("Select * from Win32_NTEventLogFile Where LogFileName='Application'")
For Each objLogfile in colLogFiles
    errBackupLog = objLogFile.BackupEventLog("c:\\application" & year(Now) & "_" & month(Now) & "_" & day(Now) & "_" & hour(now) & "_" & minute(now) & ".evt")
    objLogFile.ClearEventLog
Next
Squillman
quelle
0

Um die konfigurierbaren Optionen für eine benutzerdefinierte ADM-Vorlage anzuzeigen, müssen Sie wahrscheinlich auf das Menü Ansicht klicken und das Kontrollkästchen "Nur Richtlinieneinstellungen anzeigen, die vollständig verwaltet werden können" deaktivieren.


quelle