Назад | Перейти на главную страницу

Параметры групповой политики для журналов событий

На контроллере домена Windows Server 2008 R2 Standard Edition с клиентами Windows 7 и Windows XP можно ли сохранить указанные ниже параметры для Event Log файлы?

И какая настройка будет применяться? Между Maximum log size 1 ГБ или Retain Log to 30 days, что будет иметь приоритет?

Нет, не стоит так настраивать журналы, и обе будет применяться. Ваш Event Logs будет иметь максимальный размер ~ 1 ГиБ, и события будут переписаны через 30 дней. По всей вероятности, это означает, что ваши журналы никогда не достигнут максимального размера, потому что они будут перезаписывать себя каждые 30 дней, задолго до того, как достигнут максимального размера. (Если у вас нет очень подробного журнала для всего, вы могли бы заполнить ГиБ журналами за 30 дней.)

Хранение по дням действительно полезно только в том случае, если, как сказано в объяснении, вы архивируете свои журналы каждые x дней, потому что тогда журналы событий вашего сервера будут содержать только те события, которых нет в архивных копиях. То, что вам пришлось задать этот вопрос, говорит мне, что вы вряд ли попадете в такую ​​ситуацию.

Вместо этого вам [вероятно] следует установить файлы журнала ' Retention method к Overwrite event as needed и оставить retain [type] log установка не определена. Когда они достигают максимального размера, вместо того, чтобы препятствовать запуску системы, они просто перезаписывают самые старые события.

И, кстати, вы должны прочитать эти объяснения и другую предоставленную документацию. Чаще всего он существует и явно предназначен для того, чтобы вы не прострелили себе ногу за незнание.

Каким бы уверенным и хорошо написанным ни был ответ Джо - и я действительно хотел ему верить, я думаю, что он ошибается. Я вернулся и внимательно перечитал объяснение этих пунктов GPO. Мне ясно, что «Сохранить журнал безопасности» и «Метод хранения». . «Элементы GPO явно нацелены на СОБЫТИЯ (отдельные элементы в журнале), а не на сами архивированные файлы журналов (которые создаются, когда вы выбираете« Архивировать журнал при заполнении, не перезаписывать события »в свойствах журнала событий).

Если вы вручную (или программно) архивируете свои журналы по расписанию, но НЕ хотите переходить к журналу и очищать его вручную, тогда, конечно, вы захотите, чтобы он «запускался заново» после каждого вашего архива / резервные копии. Следовательно, объяснение «Сохранять журнал безопасности» определяет количество дней, в течение которых будут храниться события ... и метод "обертывания" журнала "метода хранения" говорят о событиях, а не об архивах.

Не обращайте абсолютно никакого внимания на парня, который рекомендовал оставить ваши журналы «перезаписывать по мере необходимости». Это ужасный, ужасный совет. Парам, вы на правильном пути. Эти настройки в порядке. Указанный размер файла для журналов событий является приемлемым. 30-дневная политика хранения тоже подойдет, но она будет полностью зависеть от политики хранения вашей организации.

Чего они не понимают, так это того, что параметр Retention Method не влияет на "активный" файл журнала событий. Это влияет только на «Архивный» журнал событий, который является сохраненной копией журнала событий. Как только журнал событий достигает установленной емкости, Windows делает копию журнала событий и маркирует ее «Архив», после чего активный файл журнала событий очищается. Политика хранения влияет только на архивные файлы журнала событий. Вам нужно будет обратить внимание на емкость вашего диска. В зависимости от того, сколько журналов генерирует ваша система, можно быстро заполнить диск, на котором расположены ваши журналы событий. Лучше всего назначить отдельный диск большой емкости и запустить задание резервного копирования ваших заархивированных событий на этот диск.

Перезапись журналов событий - серьезная проблема безопасности.