配置事件日志设置
需要定义事件日志的大小,以防止因事件被覆盖而导致审计数据丢失。要配置事件日志的大小和保留设置,请按照以下步骤进行-
- 使用域管理员凭据登录到任何具有组策略管理控制台(GPMC)的计算机 → 打开 GPMC → 右键单击默认域控制器策略 → 编辑。
- 在组策略管理编辑器中 → 计算机配置 → 策略 → Windows 设置 → 安全设置 → 事件日志。
- 导航到右侧窗格 → 右键单击安全日志的保留方法 → 属性 → 根据需要覆盖事件。
- 导航到右侧窗格 → 右键单击最大安全日志大小 → 按照下表中的指示定义大小。
注意:确保安全事件日志至少保留12小时的数据。
| 角色 |
操作系统 |
大小 |
| 域控制器 |
Windows Server 2003 |
512 MB |
| 域控制器 |
Windows Server 2008 及以上 |
1024 MB |
