事件日志的组策略设置

在Windows Server 2008 R2标准版域控制器上,对于Windows 7和Windows XP客户端,在Event Log文件的下面保留下面的设置是否可以?

GPMGMT截图

哪个设置将适用? 在1 GB的Maximum log sizeRetain Log to 30 days ,这将优先?

  • Active Directory用户和组策略
  • “回滚”到默认域控制器策略
  • Windows Server 2008 DHCP用尽了IP地址
  • Windows更新失败Server 2008 0x80070490
  • 在Windows Server防火墙中启用Ping?
  • 通过terminal服务器进行DVR监控
  • 3 Solutions collect form web for “事件日志的组策略设置”

    不,你不应该这样设置你的日志, 这两个都将适用。 您的Event Logs将具有〜1 GiB的最大大小,事件将在30天后覆盖。 很有可能,这意味着你的日志永远不会达到最大规模,因为他们会每隔30天一直覆盖自己,远在达到最大规模之前。 (除非你有非常详细的日志logging,那么你可以想象在30天内用日志填满GiB。)

    如果按照说明的说法,每隔x天将您的日志归档,因为那么您的服务器事件日志将只包含不在归档副本中的事件。 你必须问这个问题告诉我,你不可能处于这种情况。

    相反,您应该[可能]将日志文件的Retention method设置Overwrite event as needed并将retain [type] log设置retain [type] log未定义。 当他们达到最大规模,而不是阻止系统启动,他们只会覆盖最古老的事件。

    日志保留日期的说明

    顺便说一下,你应该阅读这些解释和其他文件提供。 多数情况下,它是在那里,明确地是为了防止你不知道更好的自己在脚下射击。

    乔自己的回答可能是自信而且写得很好 – 我真的很想相信他,我想他是错的。 我回去仔细地重读了这些GPO项目的解释。 对我来说很清楚“保留安全日志”和“保留方法”。 。 “GPO项目明确地针对事件(日志中的单个行项目),而不是归档日志文件本身(在事件日志的属性中select”完整归档日志,不覆盖事件“时创build)。

    如果您手动(或以编程方式)按计划对日志进行归档,但不想手动进入日志并将其清除,那么您当然希望在每个归档/备份。 因此,“保留安全日志”的解释决定了要保留的事件天数“……” 和“保留方法”的“包装”的方法日志“'是谈论事件,而不是档案。

    对于那些build议您将日志“根据需要覆盖”的人绝对不要注意。 这是可怕的,可怕的build议。 帕拉姆,你在正确的轨道上。 这些设置都很好。 事件日志的文件大小规格是可以接受的。 30天的保留政策也不错 – 但是完全取决于您组织的保留政策。

    他们提供可怕build议的人没有意识到保留方法设置不会影响“活动”事件日志文件。 它只影响“存档”事件日志,这是事件日志的保留副本。 一旦事件日志达到指定的容量,Windows将复制事件日志并将其标记为“存档”,然后清除活动事件日志文件。 保留策略仅影响已归档的事件日志文件。 你需要注意你的驱动能力。 根据系统生成的日志数量,可以快速填充事件日志所在的驱动器。 最好指定一个单独的大容量驱动器,并将存档事件的备份作业运行到该驱动器。

    覆盖您的事件日志是一个重大的安全问题。

    服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器.