默认情况下,事件日志大小设置为 512KB,超过该大小事件将被覆盖。要更改事件日志大小,必须更改事件日志文件的位置,不能使用默认位置。操作步骤如下:
移动事件日志文件:
- 通过导航至 Storage > File > File Systems 选项卡 > 创建新的文件系统,.
- 在 EMC 文件系统中创建新的卷 通过导航至Storage > File > SMB Shares > 创建共享, 在该卷中创建新的隐藏共享。选择上一步创建的文件系统。创建 SMB 共享后,复制其本地路径及驱动器字母。或者,您也可以在 计算机管理 控制台 > 系统工具 > 共享文件夹 > 共享 > 右键点击隐藏共享.
- > 属性 > 文件夹路径 访问 运行 > regedit > 文件 > 连接网络注册表
- > 输入 EMC CIFS 服务器名称。 定位至.
- HKEY_LOCAL_MACHINE > System > CurrentControlSet > Services > Eventlog > Security > Security 将隐藏共享的本地路径(步骤 ii 中创建的路径)提供为键值 名称 于文件 > [审核日志的本地路径]
。事件日志文件的默认位置将被更新。
- > 属性 > 文件夹路径 配置归档设置: 运行 > eventvwr > 右键点击 事件查看器 > 连接到另一台计算机
- > 输入 EMC CIFS 服务器名称。 > 输入目标 EMC CIFS 服务器名称。 运行 > eventvwr 安全日志 属性 > 选择.
- > 属性 > 文件夹路径 不覆盖事件 运行 > regedit > 文件 > 连接网络注册表 >
- > 输入 EMC CIFS 服务器名称。 定位至.
- 输入目标 EMC CIFS 服务器名称。
- 提供以下归档设置值:
- AutoArchiveEnabled: 1
- AutoArchiveTriggerPolicySize: 512MB
AutoArchiveRetentionPolicySize: 10GB 为验证更改是否已与 ADAudit Plus 同步,登录 ADAudit Plus Web 控制台并导航至 文件审计 > 已配置服务器 > EMC 服务器 > 点击 EMC 审计选项 图标。如果更改未反映,点击表格右上角的 刷新。
