Gruppenrichtlinieneinstellungen für Ereignisprotokolle

Gruppenrichtlinieneinstellungen für Ereignisprotokolle

Ist es „OK“, auf einem Domänencontroller mit Windows Server 2008 R2 Standard Edition mit Windows 7- und Windows XP-Clients die folgende Einstellung für Event LogDateien beizubehalten?

GPMGMT-Screenshot

Und welche Einstellung gilt? Maximum log size1 GB oder Retain Log to 30 days, was hat Vorrang?

Antwort1

Nein, Sie sollten Ihre Protokolle nicht so einrichten, undbeidegelten. Ihre Event Logsmaximale Größe beträgt ~1 GiB,UndEreignisse werden nach 30 Tagen überschrieben. Höchstwahrscheinlich bedeutet dies, dass Ihre Protokolle nie die maximale Größe erreichen, da sie sich alle 30 Tage selbst überschreiben, lange bevor sie die maximale Größe erreichen. (Sofern Sie nicht über sehr detaillierte Protokolle für alles verfügen, könnten Sie in 30 Tagen möglicherweise ein GiB mit Protokollen füllen.)

Die Aufbewahrung nach Tagen ist eigentlich nur dann sinnvoll, wenn Sie, wie in der Erklärung angegeben, Ihre Protokolle jeden xTag archivieren, da dann die Ereignisprotokolle Ihres Servers nur Ereignisse enthalten, die nicht in den archivierten Kopien enthalten sind. Dass Sie die Frage stellen mussten, sagt mir, dass Sie sich höchstwahrscheinlich nicht in einer solchen Situation befinden.

Stattdessen sollten Sie [wahrscheinlich] die Protokolldateien auf setzen Retention methodund Overwrite event as neededdie retain [type] logEinstellung undefiniert lassen. Wenn sie die maximale Größe erreichen, werden die ältesten Ereignisse einfach überschrieben, anstatt den Systemstart zu verhindern.

Beschreibungen zur Protokollaufbewahrung nach Tagen

Und übrigens, Sie sollten diese Erklärungen und andere bereitgestellte Dokumentation lesen. Meistens sind sie da und zwar ausdrücklich, um zu verhindern, dass Sie sich aus Unwissenheit selbst ins Bein schießen.

Antwort2

So überzeugend und gut geschrieben Joes Antwort auch sein mag – und ich wollte ihm wirklich glauben –, ich glaube, er liegt falsch. Ich bin zurückgegangen und habe die Erklärung dieser GPO-Elemente noch einmal sorgfältig durchgelesen. Für mich ist klar, dass die GPO-Elemente „Sicherheitsprotokoll aufbewahren“ und „Aufbewahrungsmethode …“ eindeutig auf EREIGNISSE (einzelne Zeilenelemente IN einem Protokoll) abzielen, nicht auf die archivierten Protokolldateien selbst (die erstellt werden, wenn Sie in den Eigenschaften des Ereignisprotokolls „Protokoll archivieren, wenn voll, Ereignisse nicht überschreiben“ auswählen).

Wenn Sie Ihre Protokolle manuell (oder programmgesteuert) nach einem Zeitplan archivieren, aber NICHT zum Protokoll gehen und es manuell löschen möchten, möchten Sie natürlich, dass es nach jedem Ihrer Archivierungs-/Backup-Vorgänge „von vorne beginnt“. Daher beziehen sich die Erklärungen in „Sicherheitsprotokoll beibehalten“ zu „bestimmt die Anzahl der Tage, für die Ereignisse aufbewahrt werden sollen …“ und „Aufbewahrungsmethode“ zu „„Verpackungsmethode für das Protokoll““ auf Ereignisse und nicht auf Archive.

Antwort3

Schenken Sie dem Typen, der empfohlen hat, Ihre Protokolle „bei Bedarf zu überschreiben“, absolut keine Beachtung. Das ist ein furchtbarer, furchtbarer Ratschlag. Param, Sie sind auf dem richtigen Weg. Diese Einstellungen sind völlig in Ordnung. Die Spezifikation der Dateigröße für Ihre Ereignisprotokolle ist akzeptabel. Eine 30-tägige Aufbewahrungsrichtlinie ist ebenfalls in Ordnung – hängt jedoch vollständig von der Aufbewahrungsrichtlinie Ihrer Organisation ab.

Was der Typ, der den schrecklichen Ratschlag gibt, nicht erkennt, ist, dass die Einstellung der Aufbewahrungsmethode keine Auswirkungen auf die „aktive“ Ereignisprotokolldatei hat. Sie betrifft nur das „archivierte“ Ereignisprotokoll, also die aufbewahrte Kopie des Ereignisprotokolls. Sobald ein Ereignisprotokoll die angegebene Kapazität erreicht, erstellt Windows eine Kopie des Ereignisprotokolls und bezeichnet sie als „Archiv“. Anschließend wird die aktive Ereignisprotokolldatei gelöscht. Die Aufbewahrungsrichtlinie betrifft nur die archivierten Ereignisprotokolldateien. Sie müssen auf die Kapazität Ihres Laufwerks achten. Je nachdem, wie viele Protokolle Ihr System generiert, kann das Laufwerk, auf dem sich Ihre Ereignisprotokolle befinden, schnell voll werden. Es empfiehlt sich, ein separates Laufwerk mit großer Kapazität zuzuweisen und einen Sicherungsauftrag Ihrer archivierten Ereignisse auf diesem Laufwerk auszuführen.

Das Überschreiben Ihrer Ereignisprotokolle ist ein großes Sicherheitsrisiko.

verwandte Informationen