Ich möchte die Größe des Windows-Anwendungsprotokolls mithilfe von Powershell erhöhen und beabsichtige, Folgendes zu verwenden Limit-EventLog. Ich muss Protokolle von mindestens 7 Tagen aufbewahren und über ausreichend Speicherplatz verfügen (mindestens bis zur 4-GB-Grenze). Meine Frage ist, ob ich einen Befehl wie diesen ausführe:
Limit-EventLog -LogName "Application" -MaximumSize 4092MB -RetentionDays 7 -OverflowAction "OverwriteOlder"
Wenn das Ereignisprotokoll Ereignisse enthält, die älter als 7 Tage sind, und viel freier Speicherplatz vorhanden ist, behält Windows dann die ältesten Datensätze oder überschreibt es Ereignisse, die älter als 7 Tage sind? Wenn ich eine Aufbewahrungsfrist von 7 Tagen erreicht habe, möchte ich das Protokoll nicht unnötig vergrößern.
Ich bin nicht sicher, wie diese beiden Parameter zusammenarbeiten, und die Dokumentation ist nicht explizit genug.
Antwort1
Mein Verständnis aus der Festlegung mithilfe der lokalen Sicherheitsrichtlinie (GPO), von der ich annehme, dass sie dasselbe Verhalten zeigt, ist, dass zuerst überschrieben wird, wenn die Maximalgröße erreicht wird, oder dass nach 7 Tagen mit dem Überschreiben begonnen wird, wenn die Maximalgröße nicht erreicht wird.