审核日志已满 – 事件日志存档GPO不能正常工作服务器 Gind.cn

我正在尝试创build一个事件日志档案，但它似乎并没有工作。

服务器2k12 R2环境。

以下是我启用的GPO：

Windows事件日志记录存档GPO

我重新启动了服务器，并确保使用“gpresult / r / scope computer”进行应用。我也使用gpedit.msc在本地进行了检查，并成功传播了相同的设置。不幸的是，除了“审核日志已满”popup窗口日志不断被覆盖。

我不妨提一下，所有的日志都是100MB的大小。

编辑：我启动了进程监视器，发现这个：

在这里输入图像说明

这对我来说太奇怪了。如何才能写入Security.evtx，但不能创build一个新的文件？如果系统对该目录有完整的控制，可能会丢失什么？

解：

ICACLS C：\ Windows \ System32 \ winevt \ logs / grant * S-1-5-80-880578595-1860270145-482643319-2788375705-1540778122：（F）

看来Eventlog是由一个名为Eventlog的安全组控制的。我不知道为什么，但事件日志目录中根本没有任何权限。

请注意，由于某些原因，这不会将实际的权限添加到目录中。执行后，我必须手动为“eventlog”组勾选“完全权限”。另外请注意，您可以使用“NT SERVICE \ EVENTLOG”手动添加它。