默认情况下,事件日志大小设置为512KB,超过此大小的事件将被覆盖。要更改事件日志大小,必须将事件日志文件的位置从默认位置更改。为此,请按照以下步骤操作:
移动事件日志文件:
- 通过导航到 存储 > 文件 > 文件系统选项卡 > 创建新文件系统 在EMC文件系统中创建一个新卷。
- 通过导航到 存储 > 文件 > SMB共享 > 创建共享 在该卷中创建一个新的隐藏共享。选择您在上一步中创建的文件系统。SMB共享创建后,复制其本地路径和驱动器字母。或者,您可以在 计算机管理 控制台 > 系统工具 > 共享文件夹 > 共享 中获取本地路径 > 右键单击隐藏共享 > 属性 > 文件夹路径。
- 转到 运行 > regedit > 文件 > 连接网络注册表 > 输入EMC CIFS服务器的名称。
- 导航到 HKEY_LOCAL_MACHINE > 系统 > 当前控制集 > 服务 > 事件日志 > 安全 > 安全。
- 在 文件 > [审计日志的本地路径] 下提供隐藏共享的本地路径(在步骤ii中创建)。事件日志文件的默认位置现在将被更新。
配置归档设置:
- 转到 运行 > eventvwr > 右键单击 事件查看器 > 连接到另一台计算机 > 输入目标EMC CIFS服务器的名称。
- 导航到 安全日志 > 右键单击 属性 > 选择 不要覆盖事件。
- 转到 运行 > regedit > 文件 > 连接网络注册表 > 输入目标EMC CIFS服务器的名称。
- 导航到 HKEY_LOCAL_MACHINE > 系统 > 当前控制集 > 服务 > 事件日志 > 安全 > 安全。
- 为归档设置提供以下值:
- AutoArchiveEnabled: 1
- AutoArchiveTriggerPolicySize: 512MB
- AutoArchiveRetentionPolicySize: 10GB
要验证更改是否已与ADAudit Plus同步,请登录到ADAudit Plus Web控制台,并导航到 文件审核 > 配置的服务器 > EMC服务器 > 单击 EMC审核选项 图标。如果更改未反映,请单击表格右上角的 刷新。