Em um controlador de domínio do Windows Server 2008 R2 Standard Edition, com clientes Windows 7 e Windows XP, está "OK" manter a configuração abaixo para Event Logarquivos?
E qual configuração será aplicada? Entre Maximum log size1 GB ou Retain Log to 30 days, qual terá precedência?
Responder1
Não, você não deveria configurar seus logs assim, eambosvai aplicar. Você Event Logsterá um tamanho máximo de aproximadamente 1 GiB,eos eventos serão sobrescritos após 30 dias. Muito provavelmente, isso significa que seus logs nunca atingirão o tamanho máximo, porque eles continuarão se sobrescrevendo a cada 30 dias, bem antes de atingirem o tamanho máximo. (A menos que você tenha registros muito detalhados de tudo, é possível preencher um GiB com registros em 30 dias.)
A retenção por dias só é realmente útil se, como diz a explicação, você arquivar seus logs todos xos dias, porque os logs de eventos do servidor conterão apenas eventos que não estão nas cópias arquivadas. O fato de você ter feito a pergunta me diz que é muito improvável que você esteja em tal situação.
Em vez disso, você deve [provavelmente] definir os arquivos de log Retention methodcomo Overwrite event as needede deixar a retain [type] logconfiguração indefinida. Quando atingirem o tamanho máximo, em vez de impedir a inicialização do sistema, eles apenas substituirão os eventos mais antigos.
E, a propósito, você deve ler essas explicações e demais documentações fornecidas. Na maioria das vezes, está lá e explicitamente, precisamente para evitar que você dê um tiro no próprio pé por não saber melhor.
Responder2
Por mais confiante e bem escrita que a resposta de Joe possa ser - e eu realmente queria acreditar nele, acho que ele está errado. Voltei e reli cuidadosamente a explicação desses itens do GPO. Está claro para mim que o 'Reter log de segurança' e o 'Método de retenção. . 'Os itens de GPO estão claramente direcionados a EVENTOS (itens de linha individuais em um log), não aos próprios arquivos de log arquivados (que são criados quando você seleciona "Arquivar o log quando estiver cheio, não substituir eventos" nas propriedades do log de eventos.)
Se você estiver arquivando manualmente (ou programaticamente) seus logs de acordo com uma programação, mas NÃO quiser ter que ir até o log e limpá-lo manualmente, então é claro que você deseja que ele 'comece do zero' após cada arquivo/ cópias de segurança. Conseqüentemente, 'a explicação do Retain Security Log de "determina o número de dias de eventos a serem retidos...". e 'Método de retenção' "método de empacotamento" para o log "' estão falando sobre eventos, não sobre arquivos.
Responder3
Não preste absolutamente nenhuma atenção ao cara que recomendou deixar seus logs para "sobrescrever conforme necessário". Esse é um conselho horrível, horrível. Param, você está no caminho correto. Essas configurações estão ótimas. A especificação do tamanho do arquivo para seus logs de eventos é aceitável. uma política de retenção de 30 dias também é adequada - mas dependeria inteiramente da política de retenção da sua organização.
O que o cara que dá o conselho horrível não percebe é que a configuração do Método de Retenção não afeta o arquivo de log de eventos "ativo". Afeta apenas o log de eventos "Arquivado", que é a cópia retida do log de eventos. Quando um log de eventos atinge a capacidade designada, o Windows faz uma cópia do log de eventos e o rotula como "Arquivo" e, em seguida, o arquivo de log de eventos ativo é limpo. A política de retenção afeta apenas os arquivos de log de eventos arquivados. Você precisará prestar atenção à capacidade da unidade. Dependendo de quantos logs seu sistema gera, é possível preencher rapidamente a unidade onde seus logs de eventos estão localizados. É uma prática recomendada designar uma unidade separada de grande capacidade e executar uma tarefa de backup dos eventos arquivados nessa unidade.
Substituir seus logs de eventos é uma grande preocupação de segurança.