Параметры групповой политики для журналов событий

Параметры групповой политики для журналов событий

Можно ли на контроллере домена Windows Server 2008 R2 Standard Edition с клиентами Windows 7 и Windows XP сохранять приведенные ниже настройки для Event Logфайлов?

Скриншот GPMGMT

И какая настройка будет применена? Между Maximum log size1 ГБ или Retain Log to 30 days, что будет иметь приоритет?

решение1

Нет, вам не следует настраивать свои журналы таким образом, иобабудет применяться. Ваш Event Logsбудет иметь максимальный размер ~1 ГиБ,иСобытия будут перезаписаны через 30 дней. По всей вероятности, это означает, что ваши журналы никогда не достигнут максимального размера, потому что они будут перезаписывать себя каждые 30 дней, задолго до того, как достигнут максимального размера. (Если у вас нет очень подробного журналирования всего, то вы, вероятно, могли бы заполнить GiB журналами за 30 дней.)

Сохранение по дням действительно полезно только если, как говорится в объяснении, вы архивируете свои журналы каждый xдень, потому что тогда ваши серверные журналы событий будут содержать только события, которых нет в архивных копиях. То, что вам пришлось задать этот вопрос, говорит мне, что вы вряд ли окажетесь в такой ситуации.

Вместо этого вам [вероятно] следует установить log files' Retention methodна Overwrite event as neededи оставить retain [type] logнастройку неопределенной. Когда они достигают максимального размера, вместо того, чтобы помешать запуску системы, они просто перезапишут самые старые события.

Описания хранения журнала по дням

И, кстати, вам следует прочитать эти объяснения и другую предоставленную документацию. Чаще всего она там есть и явно именно для того, чтобы вы не выстрелили себе в ногу из-за незнания лучшего.

решение2

Насколько бы уверенным и хорошо написанным ни был ответ Джо — а я действительно хотел ему верить, я думаю, что он ошибается. Я вернулся и внимательно перечитал объяснение этих элементов GPO. Мне ясно, что элементы GPO «Сохранять журнал безопасности» и «Метод хранения...» явно нацелены на СОБЫТИЯ (отдельные элементы строк В журнале), а не на сами архивные файлы журналов (которые создаются, когда вы выбираете «Архивировать журнал при заполнении, не перезаписывать события» в свойствах журнала событий).

Если вы вручную (или программно) архивируете свои журналы по расписанию, но НЕ хотите заходить в журнал и очищать его вручную, то, конечно, вы захотите, чтобы он «начинался заново» после каждого вашего архива/резервного копирования. Следовательно, объяснение «Retain Security Log» о «определяет количество дней» событий, которые должны быть сохранены...» и «Retention method's '"обертка" метода для журнала» говорят о событиях, а не об архивах.

решение3

Не обращайте абсолютно никакого внимания на парня, который рекомендовал оставить ваши журналы для «перезаписи по мере необходимости». Это ужасный, ужасный совет. Param, вы на правильном пути. Эти настройки просто великолепны. Спецификация размера файла для ваших журналов событий приемлема. 30-дневная политика хранения также хороша, но будет полностью зависеть от политики хранения вашей организации.

Чего этот парень, дающий ужасный совет, не понимает, так это того, что настройка метода хранения не влияет на «активный» файл журнала событий. Она влияет только на «архивный» журнал событий, который является сохраненной копией журнала событий. Как только журнал событий достигает назначенной емкости, Windows создает копию журнала событий и помечает ее как «Архив», затем активный файл журнала событий очищается. Политика хранения влияет только на архивные файлы журнала событий. Вам нужно будет обратить внимание на емкость вашего диска. В зависимости от того, сколько журналов генерирует ваша система, можно быстро заполнить диск, на котором находятся ваши журналы событий. Лучше всего выделить отдельный диск большой емкости и запустить задание резервного копирования ваших архивных событий на этот диск.

Перезапись журналов событий представляет собой серьезную проблему безопасности.

Связанный контент