Назад | Перейти на главную страницу

Журнал аудита заполнен - ​​объект групповой политики архива журнала событий не работает

Я пытаюсь создать архив для журнала событий, но, похоже, это не работает.

Сервер 2k12 R2 Среда.

Ниже приводится активированный мной объект групповой политики:

Я перезагрузил сервер и убедился, что он применяется с помощью "gpresult / r / scope computer". Я также проверил локально с помощью gpedit.msc, и те же настройки были успешно распространены. К сожалению, помимо всплывающего окна «Журнал аудита заполнен», журналы продолжают переопределяться.

С таким же успехом я мог бы упомянуть, что все журналы в настоящее время имеют размер 100 МБ.

Изменить: я запустил Process Monitor и нашел это:

Мне это кажется слишком странным. Почему он может писать в Security.evtx, но не может создать новый файл? Что может отсутствовать, если Система имеет ПОЛНЫЙ контроль над этим каталогом?

Решение:

ICACLS C: \ Windows \ System32 \ winevt \ logs / grant * S-1-5-80-880578595-1860270145-482643319-2788375705-1540778122: (F)

Похоже, что Eventlog контролируется группой безопасности под названием Eventlog. Я не уверен, почему, но у него вообще не было разрешений в каталоге журнала событий.

Обратите внимание, что по какой-то причине это не добавило фактических разрешений к каталогу. Мне пришлось вручную поставить галочку «Полные разрешения» для группы «Журнал событий» после ее выполнения. Также обратите внимание, что вы можете просто добавить его вручную, используя "NT SERVICE \ EVENTLOG".