Windows Server 2003。
有没有办法轻松地旋转事件日志(或自动清除和保存)? 我在这台机器上做了一些审计,我的安全日志变得非常快,每隔几个星期我都要记住保存并清除它。
是的,我可以依靠备份作业,并启用覆盖…但如果我可以让Windows自动保存并清除日志,当它接近容量时会更好。
似乎大多数人不知道这个function,但是如果这样configuration的话,Windows将自动地旋转日志文件。 在这个文件中查找“AutoBackupLogFiles”。
您可以在服务器到服务器的基础上对此进行configuration,但对于大量的服务器来说这是很乏味的。 我创build了一个pipe理模板来在服务器计算机上设置这个模板,然后编写了一个启动脚本来添加一个计划任务来定期提取ZIP文件,并将日志文件移动到一个保留位置。 它工作得很好,很便宜!
这是一个VBS脚本,将保存您的事件日志并清除它。 把它放在一个计划任务中。 请注意,特定的事件日志是在脚本的第3行中指定的,显然你想要调整目标path。
从MSDN “借”(即被盗)的代码。
strComputer = "." Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate,(Backup)}!\\" & strComputer & "\root\cimv2") Set colLogFiles = objWMIService.ExecQuery("Select * from Win32_NTEventLogFile Where LogFileName='Application'") For Each objLogfile in colLogFiles errBackupLog = objLogFile.BackupEventLog("c:\\application" & year(Now) & "_" & month(Now) & "_" & day(Now) & "_" & hour(now) & "_" & minute(now) & ".evt") objLogFile.ClearEventLog Next 要查看自定义ADM模板的可configuration选项,您可能需要单击“查看”菜单,并取消选中“仅显示可完全pipe理的策略设置”。