Windows-Server-2008

Windows Server 2008 導出或備份安全事件日誌的正確方法是什麼

  • April 5, 2014

使用 WEVTUTIL.EXE 導出 Windows Server 2008 安全事件日誌,我遇到權限問題(我有管理員權限):

c:> wevtutil epl security test.evtx

“無法導出日誌安全性。訪問被拒絕。”

我正在嘗試編寫腳本來備份和清除應用程序、安全性、設置和系統事件日誌。安全日誌是唯一給出問題的日誌。如何備份和清除它?我想知道執行此操作的“正確”方法,因為我不想讓安全人員(審計師、法醫等)感到不安。

通過使用組策略或電腦上的本地策略,轉到

Computer Configuration -> 
 Administrative Templates -> 
   Windows Components -> 
     Event Log Service -> 
        [Application|Security|Setup|System]

並配置“日誌滿時自動備份”設置。

此策略設置控制日誌文件達到其最大大小時的事件日誌行為,並且僅在啟用“保留舊事件”策略設置時生效。

如果啟用此策略設置並啟用“保留舊事件”策略設置,則事件日誌文件會在已滿時自動關閉並重命名。然後啟動一個新文件。

如果禁用此策略設置並啟用“保留舊事件”策略設置,則會丟棄新事件並保留舊事件。

如果您未配置此策略設置並且啟用了“保留舊事件”策略設置,則會丟棄新事件並保留舊事件。

然後,您的腳本需要做的就是定期收集歸檔事件日誌文件的目錄並將它們傳輸到您的網路共享。

引用自:https://serverfault.com/questions/586834