Windows 2008 事件日誌最佳實踐和伺服器使用者權限

我有幾個關於 Windows 事件日誌和伺服器 2008 最佳實踐的權限以及 2008 年使用者是什麼的問題。

我正在嘗試將 EVTLogs 寫入另一個驅動器而不是預設驅動器。當我將日誌重定向到另一個驅動器（通過 rt-click、屬性、更改路徑）而不是預設的 C: 時，它們無法寫入，除非伺服器\使用者有權訪問日誌正在寫入的文件夾。具體而言，使用者具有以下權限： 創建文件/寫入數據；創建文件夾/附加數據；遍歷文件夾/執行文件；列出文件夾/讀取數據；讀取屬性；讀取擴展屬性。

如果此權限不在該文件夾上，那麼即使作為伺服器上的管理員，該文件夾也會在該文件夾上顯示一個鎖定圖示，並且 EVTLogs 不會寫入該文件夾。在 2003 年，僅擁有具有這些權限的 SYSTEM 似乎可以解決問題，但在 2008 年，這似乎還不夠。那麼究竟什麼是使用者分解為存在，以及在 2008 年將 EVTLogs 寫入另一個驅動器的一些最佳實踐是什麼？

在 Windows Server 2008 中，有一個新的虛擬帳戶用於管理日誌文件。您需要在新的日誌文件夾上授予“NT SERVICE\eventlog”以下權限：

允許除“刪除”、“更改權限”和“取得所有權”之外的所有內容。將權限應用於“此文件夾、子文件夾和文件”。“本地服務”應該是日誌文件的所有者。

引用自：https://serverfault.com/questions/355493