1. 现象
今日有一台新装服务器的 C 盘空间很快被撑满了。检查了一下各目录,发现 C:\Windows\System32\winevt\Logs\ 下有太多 Archive-Secruity-yyyy-mm-dd-.evtx 安全日志归档文件,就是它们撑满了 C 盘。这些 Archive 开头的归档文件可以直接删除。
2. 原因
打开 Windows 系统的 “事件查看器”,在安全日志中,发现有超多事件 ID = 5156, 任务类别 = “Filtering Platform Connection” 的审核成功日志。估计是这个审核日志太多导致安全日志文件(Security.evtx)频繁写满然后被归档。
3. 解决办法
使用 auditpol 命令可以用来查看并设置系统的安全审核日志。官方资料参考:https://learn.microsoft.com
使用如下命令检查 Filtering Platform Connection 的日志设置:
auditpol /get /subcategory:{0CCE9226-69AE-11D9-BED3-505054503030}
查了一下早期的 Windows Server 服务器,发现几乎不输出这个 5156 事件。而这台新服务器是不管成功失败都要将该事件记录在案。
使用如下命令将 Filtering Platform Connection 的成功日志禁用(失败日志保留):
auditpol /set /subcategory:{0CCE9226-69AE-11D9-BED3-505054503030} /success:disable
