配置事件日志设置

事件日志大小需要定义，以防止由于事件被覆盖导致审计数据丢失。要配置事件日志大小和保留设置，请按照以下步骤操作—

• 使用域管理员凭据登录任何安装有组策略管理控制台 (GPMC) 的计算机 → 打开 GPMC → 右键点击默认域控制器策略 → 编辑。
• 在组策略管理编辑器 → 计算机配置 → 策略 → Windows 设置 → 安全设置 → 事件日志。
• 导航至右侧窗格 → 右键点击安全日志的保留方法 → 属性 → 需要时覆盖事件。
• 导航至右侧窗格 → 右键点击安全日志最大大小 → 按下表指示定义大小。

注意：确保安全事件日志至少保存12小时的数据。

角色	操作系统	大小
域控制器	Windows Server 2003	512 MB
域控制器	Windows Server 2008及以上版本	1024 MB