Event LogWindows 7 および Windows XP クライアントを備えた Windows Server 2008 R2 Standard Edition ドメイン コントローラーでは、ファイルに対して以下の設定を維持しても「OK」ですか?
また、どの設定が適用されますか? Maximum log size1 GB との場合Retain Log to 30 days、どちらが優先されますか?
答え1
いいえ、ログをそのように設定しないでください。両方が適用されます。Event Logs最大サイズは約1GiBです。そしてイベントは 30 日後に上書きされます。おそらく、ログは最大サイズに達する前に 30 日ごとに上書きされ続けるため、ログが最大サイズに達することはありません。(すべてのログを非常に詳細に記録していない限り、30 日間で 1 GiB がログでいっぱいになる可能性があります。)
日数による保持は、説明にあるように、ログを毎日アーカイブする場合にのみ役立ちますx。その場合、サーバーのイベント ログには、アーカイブされたコピーに含まれていないイベントのみが含まれるためです。この質問をしなければならなかったということは、そのような状況になる可能性が非常に低いことを示しています。
代わりに、[おそらく] ログ ファイルRetention methodを に設定しOverwrite event as needed、retain [type] log設定を未定義のままにしておく必要があります。最大サイズに達すると、システムの起動を妨げるのではなく、最も古いイベントが上書きされるだけです。
ちなみに、提供されている説明やその他のドキュメントは必ず読んでください。多くの場合、それらは、あなたがよく知らないために自ら足を撃たないようにするために明示的に提供されています。
答え2
Joe の回答は自信に満ちていてよく書かれているかもしれませんが、私は本当に彼を信じたかったのですが、彼は間違っていると思います。私は戻って、これらの GPO 項目の説明を注意深く読み直しました。私には、「セキュリティ ログの保持」と「保持方法...」の GPO 項目が明らかにイベント (ログ内の個々の行項目) を対象としており、アーカイブされたログ ファイル自体 (イベント ログのプロパティで「ログがいっぱいになったらアーカイブし、イベントを上書きしない」を選択した場合に作成される) を対象としているわけではないことがはっきりとわかります。
手動で (またはプログラムで) スケジュールに従ってログをアーカイブしているが、ログにアクセスして手動でクリアしたくない場合は、当然、アーカイブ/バックアップのたびに「新しく開始」する必要があります。したがって、「セキュリティ ログの保持」の説明にある「保持するイベントの日数を決定します...」と「保持方法」の「ログの「ラッピング」方法」は、アーカイブではなくイベントについて説明しています。
答え3
ログを「必要に応じて上書き」するように残しておくことを勧めた人には絶対に注意を払わないでください。これはひどいアドバイスです。Param さん、あなたは正しい方向に進んでいます。これらの設定はまったく問題ありません。イベント ログのファイル サイズの仕様は許容範囲内です。30 日間の保持ポリシーも問題ありませんが、組織の保持ポリシーに完全に依存します。
ひどいアドバイスをしている人が気付いていないのは、保持方法の設定が「アクティブ」なイベント ログ ファイルには影響しないということです。影響するのは「アーカイブ」されたイベント ログ、つまりイベント ログの保持されたコピーだけです。イベント ログが指定の容量に達すると、Windows はイベント ログのコピーを作成し、「アーカイブ」というラベルを付け、その後、アクティブ イベント ログ ファイルが消去されます。保持ポリシーは、アーカイブされたイベント ログ ファイルにのみ影響します。ドライブの容量に注意する必要があります。システムが生成するログの数によっては、イベント ログが保存されているドライブがすぐにいっぱいになる可能性があります。別の大容量ドライブを指定して、アーカイブされたイベントのバックアップ ジョブをそのドライブに実行するのがベスト プラクティスです。
イベント ログを上書きすることは、セキュリティ上の大きな懸念事項です。