环境

Windows Server 2012 R2

需求

Windows AD服务器开启了安全审计后，日志量暴增。导致日志达到系统默认配置的日志存储上限后，会自动覆盖历史日志。这时就不符合安全审计的要求，需要保留最少3个月的审计日志。

解决办法

开始菜单——>管理工具——>事件查看器——>左侧，Windows日志——>应用程序、安全、设置、系统——>右键，属性——>将“达到实践日志最大大小时”改为“日志满时，将其存档，不覆盖事件”

这样日志在达到设置的日志最大大小时，就会自动对历史日志进行备份保存。

Tips： 1. 日志默认存放路径：C:\Windows\System32\winevt\Logs 2. 日志最大大小不要超过200M，这是微软官方推荐最大值。 3. 域控的日志是不同步的，如果需要每台域控都备份日志，需要对每台域控进行如上操作。

如果需要自动清除Windows AD日志，可以参考以下文档：（文档中脚本，本人未测试，请自行测试） 1.使用非管理员实现系统事件日志的自动备份与清除： https://cloud.tencent.com/developer/article/1396601