配置事件日志设置

需要定义事件日志大小，以防止因覆盖事件而造成审核数据丢失。

• 打开 GPMC，并根据您的设置，右键点击默认域控制器策略或 ADAuditPlusMSPolicy 或 ADAuditPlusWSPolicy，然后选择编辑。

启用 FIM 在	右键单击
域控制器	默认域控制器策略 GPO
Windows 服务器	ADAuditPlusMSPolicy GPO
工作站	ADAuditPlusWSPolicy GPO

• 导航到计算机配置 > 策略 > Windows 设置 > 安全设置 > 事件日志。
• 将安全日志的保留方法设置为根据需要覆盖事件。
• 按照下文定义配置最大安全日志大小。确保安全日志可以容纳至少 12 小时的数据。

角色	操作系统	大小
域控制器	Windows Server 2003	512 MB
域控制器	Windows Server 2008 及以上	1,024 MB
成员服务器	Windows Server 2003	512 MB
成员服务器	Windows Server 2008 及以上	4,096 MB
工作站	Windows 10、8、7、Vista 和 XP	512 MB