配置安全事件日志大小和保留时间
您可以登录到电脑配置安全事件日志大小和保留时间。也可以配置一个GPO并直接应用到所有目标计算机。
本地配置
- 打开“运行”(开始-->运行),输入eventvwr.msc
- 右键“安全”(事件查看器-->Windows日志-->安全日志),并选择“属性”
- 根据下表对"日志最大大小"进行配置
- 将“达到事件日志最大大小时”配置为按需要覆盖事件
配置GPO
- 打开GPMC
- 编辑相应的GPO (域控上的FIM,
成员服务器上的FIM)
- 一次展开“计算机配置” → 策略 →
Windows设置 → 安全设置 → 事件日志
- 根据下表配置"安全日志最大值"。
- 配置"安全日志保留方式为按需要覆盖。
推荐安全日志大小
角色
|
操作系统类型
|
日志大小(MB)
|
域控
|
Windows Server 2003
|
307
|
域控
|
Windows Server 2008以及更高
|
1048
|
文件服务器
|
Windows Server 2003
|
307
|
文件服务器
|
Windows Server 2008以及更高
|
4194
|
成员服务器
|
Windows Server 2003
|
307
|
成员服务器
|
Windows Server 2008及更高
|
1048
|
工作站
|
Window XP
|
307
|
工作站
|
Windows Vista及更高
|
1048
|
注意:请确保安全事件日志最小保留12小时。