Group-Policy
審核日誌已滿 - 事件日誌存檔 GPO 不工作
我正在嘗試為 Eventlog 創建一個存檔,但它似乎不起作用。
伺服器 2k12 R2 環境。
以下是我啟用的 GPO:
我已經重新啟動伺服器並確保它正在使用“gpresult /r /scope computer”應用。我還使用 gpedit.msc 在本地進行了檢查,並且成功傳播了相同的設置。不幸的是,除了“審核日誌已滿”彈出視窗外,日誌不斷被覆蓋。
我不妨提一下,目前所有日誌的大小都是 100MB。
編輯:我啟動了程序監視器並發現了這個:
這對我來說太奇怪了。為什麼它可以寫入 Security.evtx 但無法創建新文件?如果系統對該目錄具有完全控制權,可能會缺少什麼?
解決方案:
ICACLS C:\Windows\System32\winevt\logs /grant *S-1-5-80-880578595-1860270145-482643319-2788375705-1540778122:(F)
Eventlog 似乎是由一個名為 Eventlog 的安全組控制的。我不確定為什麼,但它對 eventlog 目錄根本沒有權限。
請注意,由於某種原因,這並未將實際權限添加到目錄。執行後,我必須為“eventlog”組手動勾選“完全權限”。另請注意,您可以使用“NT SERVICE\EVENTLOG”簡單地手動添加它。