Windows-Server-2008
Windows 2008 事件日誌最佳實踐和伺服器使用者權限
我有幾個關於 Windows 事件日誌和伺服器 2008 最佳實踐的權限以及 2008 年使用者是什麼的問題。
我正在嘗試將 EVTLogs 寫入另一個驅動器而不是預設驅動器。當我將日誌重定向到另一個驅動器(通過 rt-click、屬性、更改路徑)而不是預設的 C: 時,它們無法寫入,除非伺服器\使用者有權訪問日誌正在寫入的文件夾。具體而言,使用者具有以下權限: 創建文件/寫入數據;創建文件夾/附加數據;遍歷文件夾/執行文件;列出文件夾/讀取數據;讀取屬性;讀取擴展屬性。
如果此權限不在該文件夾上,那麼即使作為伺服器上的管理員,該文件夾也會在該文件夾上顯示一個鎖定圖示,並且 EVTLogs 不會寫入該文件夾。在 2003 年,僅擁有具有這些權限的 SYSTEM 似乎可以解決問題,但在 2008 年,這似乎還不夠。那麼究竟什麼是使用者分解為存在,以及在 2008 年將 EVTLogs 寫入另一個驅動器的一些最佳實踐是什麼?
在 Windows Server 2008 中,有一個新的虛擬帳戶用於管理日誌文件。您需要在新的日誌文件夾上授予“NT SERVICE\eventlog”以下權限:
允許除“刪除”、“更改權限”和“取得所有權”之外的所有內容。將權限應用於“此文件夾、子文件夾和文件”。“本地服務”應該是日誌文件的所有者。