Rotazione del registro eventi di Windows?

9

Windows Server 2003.

Esiste un modo per ruotare facilmente i registri eventi (o cancellare e salvare automaticamente)? Sto facendo un po 'di auditing su questa macchina e il mio registro di sicurezza diventa molto grande molto velocemente e ogni paio di settimane devo ricordare di salvarlo e cancellarlo.

Sì, potrei fare affidamento su processi di backup e abilitare la sovrascrittura ... ma sarebbe meglio se riuscissi a far sì che Windows salvasse e cancellasse automaticamente il registro quando si avvicina alla capacità.

windows-server-2003  windows-event-log 
Boden
fonte

Risposte:

12

Sembra che la maggior parte delle persone non sia a conoscenza di questa funzionalità, ma Windows ruoterà automaticamente i file di registro se così configurato. Cerca "AutoBackupLogFiles" in questo file.

Puoi configurarlo su un server per server, ma è noioso per un gran numero di server. Ho creato un modello amministrativo per impostarlo sui computer server, quindi ho creato uno script di avvio per aggiungere un'attività pianificata per prelevare periodicamente, ZIP e spostare i file di registro in un percorso di conservazione. Funzionava davvero bene ed era economico!

http://mx02.wellbury.com/misc/EventLogPolicy.adm

Evan Anderson
fonte
+1 bel consiglio. Ho intenzione di provarlo.
Kent
Funzionerà solo su 2008 / Vista o funzionerà anche su 2000 / XP / 2003? A cosa dovrebbe essere impostata la politica di conservazione?
msvcyc,
1
Non l'ho mai provato su Server 2008 o Vista. Funziona bene su Server 2003 e 2000 e Microsoft afferma che funziona su Windows XP. L'impostazione di conservazione deve essere 0xffffffff per funzionare su 2003 / XP / 2000. È possibile visualizzare ulteriori dettagli da Microsoft all'indirizzo: msdn.microsoft.com/en-us/library/aa363648(VS.85).aspx
Evan Anderson,
1
Vorrei che ci fossero istruzioni su come configurarlo da soli invece di scaricare un file ADM
Jonathan,
2

Ecco uno script VBS che salverà il tuo registro eventi e lo cancellerà. Metti questo in un'attività pianificata. Si noti che il registro eventi specifico è specificato nella riga 3 dello script e che ovviamente sarà necessario modificare il percorso di destinazione.

Codice "preso in prestito" (ovvero rubato) da MSDN .

strComputer = "."
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate,(Backup)}!\\" & strComputer & "\root\cimv2")
Set colLogFiles = objWMIService.ExecQuery("Select * from Win32_NTEventLogFile Where LogFileName='Application'")
For Each objLogfile in colLogFiles
    errBackupLog = objLogFile.BackupEventLog("c:\\application" & year(Now) & "_" & month(Now) & "_" & day(Now) & "_" & hour(now) & "_" & minute(now) & ".evt")
    objLogFile.ClearEventLog
Next
squillman
fonte
0

Per visualizzare le opzioni configurabili per un modello ADM personalizzato, è probabilmente necessario fare clic sul menu Visualizza e deselezionare "Mostra solo le impostazioni dei criteri che possono essere completamente gestite".

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.