我想為網域中所有電腦設定設定日誌的最大大小,但在群組原則中,我只能看到最大應用程式、安全性和系統日誌的 GPO 設定。有沒有辦法在 GPO 中設定最大設定日誌大小,或者有其他方法可以複製到我網域中的所有電腦?
答案1
事件日誌的特性之一是,應用程式、安全性和系統是「管理」事件日誌,而安裝日誌是「操作」事件日誌。這就是為什麼並非所有特性和功能都同樣適用於所有日誌的原因。
我沒有看到透過 GPO 進行設定的簡單內建方法,但如果您有足夠的決心,肯定有方法可以更改它,並且您可以想像透過群組原則推送這些更改。
透過 Powershell 將安裝日誌增大 64KB:
$EL = Get-WinEvent -ListLog Setup
$EL.MaximumSizeInBytes += 64KB # Must be a factor of 64KB
$EL.SaveChanges()
或者,透過註冊表修改它。您不會HKLM\SYSTEM\CurrentControlSet\Services\EventLog像您期望的那樣找到操作事件日誌條目。相反,您會在 下找到它們HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels。在該Setup子項下,您將找到一個名為 的 DWORD 值MaxSize。0x00200000 (2097152)如果您想要最大日誌檔案大小為 2048KB,只需將該鍵變更為類似的值即可。請記住該值必須是 64KB 的因數。
我個人會透過群組原則推送登錄機碼更改,因為這對客戶端來說處理速度比 Powershell 腳本快得多。
這是一篇很棒的 Microsoft 部落格文章,介紹了透過群組原則推送自訂註冊表更改,如果您想更進一步,甚至可以建立自己的自訂管理範本: