Я хочу установить максимальный размер журнала настройки для всех компьютеров в моем домене, но в рамках групповой политики я вижу только настройки GPO для максимального количества журналов приложений, безопасности и системных журналов. Есть ли способ установить максимальный размер журнала установки в объекте групповой политики или другим способом, который будет реплицироваться на все машины в моем домене?
Одна из особенностей журналов событий заключается в том, что, хотя приложение, безопасность и система являются «административными» журналами событий, журнал установки является «рабочим» журналом событий. Вот почему не все возможности и функции одинаково применимы ко всем журналам.
Я не вижу простого встроенного способа настройки этого через GPO, но, безусловно, есть способы изменить его, если вы достаточно настроены, и вы могли бы, вероятно, протолкнуть эти изменения через групповую политику.
Увеличение размера журнала установки на 64 КБ с помощью Powershell:
$EL = Get-WinEvent -ListLog Setup
$EL.MaximumSizeInBytes += 64KB # Must be a factor of 64KB
$EL.SaveChanges()
Или измените его через реестр. Вы не найдете записей в журналах рабочих событий в HKLM\SYSTEM\CurrentControlSet\Services\EventLog как и следовало ожидать. Вместо этого вы найдете их под HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels. Под Setup подключ, вы найдете значение DWORD с именем MaxSize. Просто измените этот ключ на что-нибудь вроде 0x00200000 (2097152) если вам нужен максимальный размер файла журнала 2048 КБ. Помните, что значение должен быть фактором 64 КБ.
Лично я бы пошел на внесение изменений в реестр с помощью групповой политики, поскольку это было бы намного быстрее для обработки клиентами, чем сценарий Powershell.
Вот отличная статья в блоге Microsoft о внесении настраиваемых изменений в реестр с помощью групповой политики и даже о создании собственного настраиваемого административного шаблона, если вы хотите приложить дополнительные усилия: