Я пытаюсь создать архив для журнала событий, но, похоже, это не работает.
Сервер 2k12 R2 Среда.
Ниже приводится активированный мной объект групповой политики:
Я перезагрузил сервер и убедился, что он применяется с помощью "gpresult / r / scope computer". Я также проверил локально с помощью gpedit.msc, и те же настройки были успешно распространены. К сожалению, помимо всплывающего окна «Журнал аудита заполнен», журналы продолжают переопределяться.
С таким же успехом я мог бы упомянуть, что все журналы в настоящее время имеют размер 100 МБ.
Изменить: я запустил Process Monitor и нашел это:
Мне это кажется слишком странным. Почему он может писать в Security.evtx, но не может создать новый файл? Что может отсутствовать, если Система имеет ПОЛНЫЙ контроль над этим каталогом?
Решение:
ICACLS C: \ Windows \ System32 \ winevt \ logs / grant * S-1-5-80-880578595-1860270145-482643319-2788375705-1540778122: (F)
Похоже, что Eventlog контролируется группой безопасности под названием Eventlog. Я не уверен, почему, но у него вообще не было разрешений в каталоге журнала событий.
Обратите внимание, что по какой-то причине это не добавило фактических разрешений к каталогу. Мне пришлось вручную поставить галочку «Полные разрешения» для группы «Журнал событий» после ее выполнения. Также обратите внимание, что вы можете просто добавить его вручную, используя "NT SERVICE \ EVENTLOG".