Windows Server 2003.
Есть ли способ легко вращать журналы событий (или автоматически очищать и сохранять)? Я провожу небольшой аудит на этой машине, и мой журнал безопасности очень быстро становится большим, и каждые пару недель я должен не забывать сохранять и очищать его.
Да, я мог бы положиться на задания резервного копирования и включить перезапись ... но было бы лучше, если бы я мог просто заставить Windows автоматически сохранять и очищать журнал, когда он приближается к емкости.
Кажется, что большинство людей не знают об этой функции, но Windows будет автоматически чередовать файлы журнала, если это настроено. Найдите в этом файле «AutoBackupLogFiles».
Вы можете настроить это отдельно для каждого сервера, но это утомительно для большого количества серверов. Я создал административный шаблон, чтобы установить его на серверных компьютерах, а затем написал сценарий запуска, чтобы добавить запланированную задачу для периодического сбора, архивирования и перемещения файлов журнала в место хранения. Это сработало очень хорошо и было дешево!
Вот сценарий VBS, который сохранит ваш журнал событий и очистит его. Поместите это в запланированное задание. Обратите внимание, что конкретный журнал событий указан в строке 3 сценария, и вы, очевидно, захотите настроить целевой путь.
Код "заимствовано" (т.е. украдено) у MSDN.
strComputer = "."
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate,(Backup)}!\\" & strComputer & "\root\cimv2")
Set colLogFiles = objWMIService.ExecQuery("Select * from Win32_NTEventLogFile Where LogFileName='Application'")
For Each objLogfile in colLogFiles
errBackupLog = objLogFile.BackupEventLog("c:\\application" & year(Now) & "_" & month(Now) & "_" & day(Now) & "_" & hour(now) & "_" & minute(now) & ".evt")
objLogFile.ClearEventLog
Next
Чтобы увидеть настраиваемые параметры для настраиваемого шаблона ADM, вам, вероятно, потребуется щелкнуть меню «Просмотр» и снять флажок «Показывать только параметры политики, которыми можно полностью управлять».