Rotación de registro de eventos de Windows?

9

Windows Server 2003.

¿Hay alguna forma de rotar fácilmente los registros de eventos (o borrar y guardar automáticamente)? Estoy haciendo un poco de auditoría en esta máquina y mi registro de seguridad se vuelve muy grande muy rápido y cada dos semanas tengo que recordar guardarlo y borrarlo.

Sí, podría confiar en los trabajos de copia de seguridad y habilitar la sobrescritura ... pero sería mejor si pudiera hacer que Windows guarde y borre automáticamente el registro cuando esté cerca de su capacidad.

windows-server-2003 windows-event-log Boden
fuente

Respuestas:

12

Parece que la mayoría de la gente no sabe acerca de esta característica, pero Windows rotará los archivos de registro automáticamente si está configurado de esta manera. Busque "AutoBackupLogFiles" en este archivo.

Puede configurar esto servidor por servidor, pero eso es tedioso para una gran cantidad de servidores. Creé una plantilla administrativa para configurar esto en las computadoras del servidor, y luego escribí un script de inicio para agregar una tarea programada para recoger periódicamente, ZIP y mover los archivos de registro a una ubicación de retención. ¡Funcionó muy bien y era barato!

http://mx02.wellbury.com/misc/EventLogPolicy.adm

Evan Anderson
fuente
+1 Buen consejo. Voy a probarlo.
kentchen
¿Esto solo funcionará en 2008 / Vista o también funcionará en 2000 / XP / 2003? ¿A qué se debe establecer la política de retención?
msvcyc
1
Nunca he probado esto en Server 2008 o Vista. Funciona bien en Server 2003 y 2000, y Microsoft dice que funciona en Windows XP. La configuración de retención debe ser 0xffffffff para que funcione en 2003 / XP / 2000. Puede ver más detalles de Microsoft en: msdn.microsoft.com/en-us/library/aa363648(VS.85).aspx
Evan Anderson
1
Desearía que hubiera instrucciones sobre cómo configurarlo uno mismo en lugar de descargar un archivo ADM
Jonathan
2

Aquí hay un script VBS que guardará su registro de eventos y lo borrará. Pon esto en una tarea programada. Tenga en cuenta que el registro de eventos específico se especifica en la línea 3 del script y que obviamente querrá modificar la ruta de destino.

Código "prestado" (es decir, robado) de MSDN .

strComputer = "."
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate,(Backup)}!\\" & strComputer & "\root\cimv2")
Set colLogFiles = objWMIService.ExecQuery("Select * from Win32_NTEventLogFile Where LogFileName='Application'")
For Each objLogfile in colLogFiles
    errBackupLog = objLogFile.BackupEventLog("c:\\application" & year(Now) & "_" & month(Now) & "_" & day(Now) & "_" & hour(now) & "_" & minute(now) & ".evt")
    objLogFile.ClearEventLog
Next
squillman
fuente
0

Para ver las opciones configurables para una plantilla ADM personalizada, probablemente deba hacer clic en el menú Ver y desmarcar "mostrar solo la configuración de políticas que se puede administrar completamente".


fuente