在具有 Windows 7 和 Windows XP 用戶端的 Windows Server 2008 R2 標準版網域控制站上,保留下列檔案設定是否「可以」Event Log?
以及將要套用哪種設定?Maximum log size1 GB 或之間Retain Log to 30 days,哪個優先?
答案1
不,你不應該那樣設定你的日誌,並且兩個都將會應用。您的Event Logs最大大小為 ~1 GiB,和事件將在 30 天後被覆蓋。這很可能意味著您的日誌永遠不會達到最大大小,因為它們會在達到最大大小之前每 30 天不斷覆蓋自己。 (除非您對所有內容都有非常詳細的日誌記錄,否則您可以在 30 天內用日誌填滿一個 GiB。)
如解釋所述,只有當您每天存檔日誌時,按天保留才真正有用x,因為這樣您的伺服器事件日誌將僅包含存檔副本中不存在的事件。你不得不問這個問題告訴我你不太可能遇到這種情況。
相反,您應該[可能]將日誌檔案設為Retention method並Overwrite event as needed保留該retain [type] log設定未定義。當它們達到最大大小時,它們不會阻止系統啟動,而是會覆蓋最舊的事件。
順便說一下,您應該閱讀這些解釋和提供的其他文件。通常情況下,它的存在並且明確地是為了防止您因為不了解情況而搬起石頭砸自己的腳。
答案2
儘管喬的回答可能很自信且寫得很好,但我真的很想相信他,但我認為他錯了。我回去仔細重新閱讀了這些GPO項目的解釋。我很清楚「保留安全日誌」和「保留方法」。 。 GPO 項目顯然是針對事件(日誌中的單一行項目),而不是存檔日誌檔案本身(當您在事件日誌屬性中選擇「滿時存檔日誌,不覆寫事件」時建立的日誌檔案。)
如果您按計劃手動(或以編程方式)歸檔日誌,但您不想手動轉到日誌並清除它,那麼您當然希望它在每次歸檔/之後“重新開始”備份。因此,「保留安全日誌」對「確定要保留的事件的天數」的解釋...和「保留方法的『日誌的「包裝」方法」』談論的是事件,而不是檔案。
答案3
絕對不要理會那些建議讓你的日誌「根據需要覆蓋」的人。這是非常可怕的建議。帕拉姆,你走在正確的軌道上。這些設定就好了。事件日誌的檔案大小規格是可以接受的。 30 天的保留策略也可以,但完全取決於您組織的保留策略。
他們提供可怕建議的人沒有意識到保留方法設定不會影響「活動」事件日誌檔案。它僅影響「已存檔」事件日誌,即事件日誌的保留副本。一旦事件日誌達到指定容量,Windows 就會建立事件日誌的副本並將其標記為“存檔”,然後清除活動事件日誌檔案。保留策略僅影響已存檔的事件日誌檔案。您需要注意您的驅動器容量。根據您的系統產生的日誌數量,可以快速填滿事件日誌所在的磁碟機。最佳做法是指定一個單獨的大容量驅動器,並將已歸檔事件的備份作業運行到該驅動器。
覆蓋事件日誌是一個主要的安全性問題。