Rotação do log de eventos do Windows?

9

Windows Server 2003.

Existe alguma maneira de girar facilmente os logs de eventos (ou limpar e salvar automaticamente)? Estou fazendo algumas auditorias nesta máquina e meu log de segurança fica muito grande rapidamente, e a cada duas semanas eu tenho que lembrar de salvá-lo e limpá-lo.

Sim, eu poderia confiar em tarefas de backup e ativar a substituição ... mas seria melhor se eu conseguisse que o Windows salve e limpe automaticamente o log quando estiver próximo da capacidade.

windows-server-2003 windows-event-log Boden
fonte

Respostas:

12

Parece que a maioria das pessoas não conhece esse recurso, mas o Windows girará os arquivos de log automaticamente, se estiver configurado. Procure por "AutoBackupLogFiles" neste arquivo.

Você pode configurá-lo servidor a servidor, mas isso é entediante para um grande número de servidores. Criei um modelo administrativo para definir isso nos computadores servidores e, em seguida, criei um script de inicialização para adicionar uma tarefa agendada para buscar periodicamente, ZIP e mover os arquivos de log para um local de retenção. Funcionou muito bem e foi barato!

http://mx02.wellbury.com/misc/EventLogPolicy.adm

Evan Anderson
fonte
+1 boa dica. Vou experimentar.
22410 kentchen
Isso funcionará apenas em 2008 / Vista ou em 2000 / XP / 2003? Em que a política de retenção deve ser definida?
26410 msvcyc
1
Eu nunca tentei isso no Server 2008 ou Vista. Funciona bem no Server 2003 e 2000, e a Microsoft diz que funciona no Windows XP. A configuração de retenção precisa ser 0xffffffff para funcionar em 2003 / XP / 2000. Você pode ver mais alguns detalhes da Microsoft em: msdn.microsoft.com/en-us/library/aa363648(VS.85).aspx
Evan Anderson
1
Eu gostaria que houvesse instructinos sobre como configurá-lo a si mesmo em vez de baixar um arquivo ADM
Jonathan
2

Aqui está um script VBS que salva seu registro de eventos e o limpa. Coloque isso em uma tarefa agendada. Observe que o log de eventos específico está especificado na linha 3 do script e, obviamente, você deseja ajustar o caminho de destino.

Código "emprestado" (roubado) do MSDN .

strComputer = "."
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate,(Backup)}!\\" & strComputer & "\root\cimv2")
Set colLogFiles = objWMIService.ExecQuery("Select * from Win32_NTEventLogFile Where LogFileName='Application'")
For Each objLogfile in colLogFiles
    errBackupLog = objLogFile.BackupEventLog("c:\\application" & year(Now) & "_" & month(Now) & "_" & day(Now) & "_" & hour(now) & "_" & minute(now) & ".evt")
    objLogFile.ClearEventLog
Next
squillman
fonte
0

Para ver as opções configuráveis ​​para um modelo ADM personalizado, você provavelmente precisará clicar no menu Exibir e desmarcar "mostrar apenas as configurações de política que podem ser totalmente gerenciadas".


fonte