Configuración de política de grupo para registros de eventos

No, no deberías configurar tus registros de esa manera, yambosse aplicará. Tendrá Event Logsun tamaño máximo de ~1 GiB,yLos eventos se sobrescribirán después de 30 días. Con toda probabilidad, esto significa que sus registros nunca alcanzarán el tamaño máximo, porque seguirán sobrescribiéndose cada 30 días, mucho antes de que alcancen el tamaño máximo. (A menos que tenga un registro muy detallado para todo, entonces es posible llenar un GiB con registros en 30 días).

La retención por días solo es útil si, como dice la explicación, archiva sus registros todos xlos días, porque entonces los registros de eventos de su servidor solo contendrán eventos que no están en las copias archivadas. El hecho de que tuvieras que hacer la pregunta me dice que es muy poco probable que te encuentres en una situación así.

En su lugar, debería [probablemente] configurar los archivos de registro Retention methody Overwrite event as neededdejar la retain [type] logconfiguración sin definir. Cuando alcanzan el tamaño máximo, en lugar de impedir que el sistema se inicie, simplemente sobrescriben los eventos más antiguos.

Y, por cierto, deberías leer esas explicaciones y demás documentación proporcionada. La mayoría de las veces, está ahí y explícitamente precisamente para evitar que te dispares en el pie por no saberlo mejor.

Por más segura y bien escrita que pueda ser la respuesta de Joe, y realmente quería creerle, creo que está equivocado. Regresé y releí atentamente la explicación de estos elementos de GPO. Para mí está claro que 'Conservar registro de seguridad' y 'Método de retención'. . ' Los elementos de GPO están claramente dirigidos a EVENTOS (elementos de línea individuales EN un registro), no a los archivos de registro archivados en sí (que se crean cuando selecciona "Archivar el registro cuando esté lleno, no sobrescribir eventos" en las propiedades del registro de eventos).

Si está archivando manualmente (o mediante programación) sus registros según un cronograma, pero NO desea tener que ir al registro y borrarlo manualmente, entonces, por supuesto, querrá que "comience de nuevo" después de cada uno de sus archivos/ copias de seguridad. Por lo tanto, la explicación de 'Retener registro de seguridad' de "determina el número de días de eventos que se conservarán...". y el 'método de "envoltura" del método de retención para el registro' se refieren a eventos, no a archivos.

No preste atención al tipo que recomendó dejar sus registros para "sobrescribirlos según sea necesario". Ese es un consejo horrible, horrible. Param, estás en el camino correcto. Esas configuraciones están bien. La especificación del tamaño de archivo para sus registros de eventos es aceptable. una política de retención de 30 días también está bien, pero dependerá completamente de la política de retención de su organización.

Lo que el tipo que da el horrible consejo no se da cuenta es que la configuración del Método de retención no afecta el archivo de registro de eventos "activo". Sólo afecta al registro de eventos "Archivado", que es la copia retenida del registro de eventos. Una vez que un registro de eventos alcanza la capacidad designada, Windows hace una copia del registro de eventos y lo etiqueta como "Archivo", luego se borra el archivo de registro de eventos activo. La política de retención solo afecta a los archivos de registro de eventos archivados. Deberá prestar atención a la capacidad de su disco. Dependiendo de cuántos registros genere su sistema, es posible llenar rápidamente la unidad en la que se encuentran sus registros de eventos. Se recomienda designar una unidad independiente de gran capacidad y ejecutar una tarea de copia de seguridad de los eventos archivados en esa unidad.

Sobrescribir los registros de eventos es un problema de seguridad importante.