使用WEVTUTIL.EXE导出Windows Server 2008安全事件日志,我得到一个权限问题(我有pipe理员权限):
c:> wevtutil epl security test.evtx
“导出日志安全失败,访问被拒绝”
我正在尝试编写一个脚本来备份和清除应用程序,安全,设置和系统事件日志。 安全日志是唯一的问题。 我如何备份和清除它? 我想知道这样做的“正确”方式,因为我不想让保安人员(审计员,法医学等)感到不安。
通过使用组策略或机器上的本地策略,请转到
Computer Configuration -> Administrative Templates -> Windows Components -> Event Log Service -> [Application|Security|Setup|System]
并configuration设置“满时自动备份日志”。
此策略设置控制日志文件达到其最大大小时的事件日志行为,并且只有在启用“保留旧事件”策略设置的情况下才会生效。
如果启用此策略设置并启用了“保留旧事件”策略设置,则事件日志文件将自动closures,并在已满时将其重命名。 然后启动一个新文件。
如果您禁用此策略设置并启用了“保留旧事件”策略设置,则会丢弃新事件并保留旧事件。
如果您未configuration此策略设置,并且启用了“保留旧事件”策略设置,则会丢弃新事件并保留旧事件。
然后,您的脚本需要做的就是定期收集存档事件日志文件的目录并将其转移到您的networking共享中。