环境
Windows Server 2012 R2
需求
Windows AD服务器开启了安全审计后,日志量暴增。导致日志达到系统默认配置的日志存储上限后,会自动覆盖历史日志。这时就不符合安全审计的要求,需要保留最少3个月的审计日志。
解决办法
开始菜单——>管理工具——>事件查看器——>左侧,Windows日志——>应用程序、安全、设置、系统——>右键,属性——>将“达到实践日志最大大小时”改为“日志满时,将其存档,不覆盖事件”
这样日志在达到设置的日志最大大小时,就会自动对历史日志进行备份保存。
Tips: 1. 日志默认存放路径:
C:\Windows\System32\winevt\Logs
2. 日志最大大小不要超过200M,这是微软官方推荐最大值。 3. 域控的日志是不同步的,如果需要每台域控都备份日志,需要对每台域控进行如上操作。
如果需要自动清除Windows AD日志,可以参考以下文档:(文档中脚本,本人未测试,请自行测试) 1.使用非管理员实现系统事件日志的自动备份与清除: https://cloud.tencent.com/developer/article/1396601