У меня есть пара вопросов о журналах событий Windows и разрешениях для передовой практики server 2008 и о пользователях в 2008 году.
Я пытаюсь записать EVTLogs на другой диск вместо диска по умолчанию. Когда я перенаправляю журналы на другой диск (с помощью rt-щелчка, свойств, изменения пути) вместо C: по умолчанию, они не могут записывать, если сервер \ пользователи не имеют доступа к папке, в которую записываются журналы. В частности, пользователи имеют следующие права: создавать файлы / записывать данные; создавать папки / добавлять данные; просмотреть папку / выполнить файл; список папок / чтение данных; читать атрибуты; читать расширенные атрибуты.
Если это разрешение отсутствует для папки, то даже в качестве администратора на сервере в папке отображается значок замка, и EVTLogs не будет записывать в эту папку. В 2003 году казалось, что достаточно иметь SYSTEM с этими разрешениями, но в 2008 году этого было недостаточно. Так что же такое пользователи и каковы лучшие практики для записи журналов EVTLog на другой диск в 2008 году?
В Windows Server 2008 есть новая виртуальная учетная запись, которая используется для управления файлами журналов. Вам нужно будет предоставить "NT SERVICE \ eventlog" следующие разрешения для новой папки журнала:
Разрешить все, кроме «Удалить», «Изменить разрешения» и «Взять на себя ответственность». Примените разрешения к «этой папке, подпапкам и файлам». "LOCAL SERVICE" должен быть владельцем файлов журнала.