Rotation du journal des événements Windows?

9

Windows Server 2003.

Existe-t-il un moyen de faire pivoter facilement les journaux d'événements (ou d'effacer et d'enregistrer automatiquement)? Je fais un peu d'audit sur cette machine et mon journal de sécurité devient très gros très rapidement et toutes les deux semaines, je dois me rappeler de l'enregistrer et de l'effacer.

Oui, je pourrais compter sur des travaux de sauvegarde et activer l'écrasement ... mais ce serait mieux si je pouvais simplement demander à Windows d'enregistrer et d'effacer automatiquement le journal lorsqu'il est presque à sa capacité.

windows-server-2003 windows-event-log Boden
la source

Réponses:

12

Il semble que la plupart des gens ne connaissent pas cette fonctionnalité, mais Windows fera pivoter automatiquement les fichiers journaux s'ils sont ainsi configurés. Recherchez "AutoBackupLogFiles" dans ce fichier.

Vous pouvez le configurer serveur par serveur, mais c'est fastidieux pour un grand nombre de serveurs. J'ai créé un modèle d'administration pour définir cela sur les ordinateurs serveurs, puis j'ai créé un script de démarrage pour ajouter une tâche planifiée pour récupérer, ZIP et déplacer périodiquement les fichiers journaux vers un emplacement de rétention. Cela fonctionnait très bien et n'était pas cher!

http://mx02.wellbury.com/misc/EventLogPolicy.adm

Evan Anderson
la source
+1 Bon conseil. Je vais essayer.
kentchen
Cela fonctionnera-t-il uniquement sur 2008 / Vista ou cela fonctionnera-t-il également sur 2000 / XP / 2003? À quoi la politique de conservation doit-elle être définie?
msvcyc le
1
Je n'ai jamais essayé cela sur Server 2008 ou Vista. Cela fonctionne très bien sur Server 2003 et 2000, et Microsoft dit que cela fonctionne sur Windows XP. Le paramètre de rétention doit être 0xffffffff pour qu'il fonctionne sur 2003 / XP / 2000. Vous pouvez voir plus de détails de Microsoft à: msdn.microsoft.com/en-us/library/aa363648(VS.85).aspx
Evan Anderson
1
J'aimerais qu'il y ait des instructions sur la façon de le configurer soi-même au lieu de télécharger un fichier ADM
Jonathan
2

Voici un script VBS qui enregistrera votre journal des événements et l'effacera. Mettez cela dans une tâche planifiée. Notez que le journal des événements spécifique est spécifié à la ligne 3 du script et que vous voudrez évidemment modifier le chemin cible.

Code "emprunté" (c'est-à-dire volé) à MSDN .

strComputer = "."
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate,(Backup)}!\\" & strComputer & "\root\cimv2")
Set colLogFiles = objWMIService.ExecQuery("Select * from Win32_NTEventLogFile Where LogFileName='Application'")
For Each objLogfile in colLogFiles
    errBackupLog = objLogFile.BackupEventLog("c:\\application" & year(Now) & "_" & month(Now) & "_" & day(Now) & "_" & hour(now) & "_" & minute(now) & ".evt")
    objLogFile.ClearEventLog
Next
squillman
la source
0

Pour voir les options configurables pour un modèle ADM personnalisé, vous devez probablement cliquer sur le menu Affichage et décocher "Afficher uniquement les paramètres de stratégie qui peuvent être entièrement gérés".


la source