審核日誌已滿 - 事件日誌存檔 GPO 不工作

我正在嘗試為 Eventlog 創建一個存檔，但它似乎不起作用。

伺服器 2k12 R2 環境。

以下是我啟用的 GPO：

我已經重新啟動伺服器並確保它正在使用“gpresult /r /scope computer”應用。我還使用 gpedit.msc 在本地進行了檢查，並且成功傳播了相同的設置。不幸的是，除了“審核日誌已滿”彈出視窗外，日誌不斷被覆蓋。

我不妨提一下，目前所有日誌的大小都是 100MB。

編輯：我啟動了程序監視器並發現了這個：

這對我來說太奇怪了。為什麼它可以寫入 Security.evtx 但無法創建新文件？如果系統對該目錄具有完全控制權，可能會缺少什麼？

解決方案：

ICACLS C:\Windows\System32\winevt\logs /grant *S-1-5-80-880578595-1860270145-482643319-2788375705-1540778122:(F)

Eventlog 似乎是由一個名為 Eventlog 的安全組控制的。我不確定為什麼，但它對 eventlog 目錄根本沒有權限。

請注意，由於某種原因，這並未將實際權限添加到目錄。執行後，我必須為“eventlog”組手動勾選“完全權限”。另請注意，您可以使用“NT SERVICE\EVENTLOG”簡單地手動添加它。

引用自：https://serverfault.com/questions/785233