Используя WEVTUTIL.EXE для экспорта журнала событий безопасности Windows Server 2008, я получаю проблему с разрешением (у меня есть права администратора):
c:> wevtutil epl security test.evtx
«Не удалось экспортировать журнал безопасности. Доступ запрещен».
Я пытаюсь написать сценарий для резервного копирования и очистки журналов событий приложений, безопасности, настройки и системы. Журнал безопасности - единственный источник проблем. Как сделать резервную копию и очистить ее? Я хотел бы знать «правильный» способ сделать это, потому что я не хочу расстраивать сотрудников службы безопасности (аудиторов, криминалистов и т. Д.).
Либо с помощью групповой политики, либо локальной политики на компьютере, перейдите в
Computer Configuration ->
Administrative Templates ->
Windows Components ->
Event Log Service ->
[Application|Security|Setup|System]
И настройте параметр «Резервное копирование журнала автоматически при заполнении».
Этот параметр политики управляет поведением журнала событий, когда файл журнала достигает максимального размера, и вступает в силу только в том случае, если включен параметр политики «Сохранять старые события».
Если этот параметр политики включен и параметр политики «Сохранять старые события» включен, файл журнала событий автоматически закрывается и переименовывается, когда он заполняется. Затем запускается новый файл.
Если вы отключите этот параметр политики и включен параметр политики «Сохранять старые события», новые события отбрасываются, а старые события сохраняются.
Если не настроить этот параметр политики и включен параметр политики «Сохранять старые события», новые события отбрасываются, а старые события сохраняются.
Затем все, что нужно сделать вашему сценарию, - это периодически собирать каталог для архивных файлов журнала событий и передавать их в общий сетевой ресурс.