近期检查新装的几台服务器,发现在 %SystemRoot%\System32\Winevt\Logs\ 目录下,有太多的 Archive-Security-yyyy-mm-dd.evtx 文件,占用了大量的 C 盘空间。
这些文件是系统安全日志的归档文件。可以直接删除。但是当我想要调整它的归档配置的时候,却苦苦搜索了好久才找到正确的方式。
跟事件配置相关的,包括“事件查看器”(eventvwr.msc),“本地组策略编辑器”(gpedit.msc),“组策略管理”(gpmc.msc)。
1. 首先在“事件查看器”中,选择 Windows 日志 – 安全 – 右键属性。可以找到修改 日志路径、日志最大大小 等配置项。理论上可以在此修改这些配置项并生效,但我手头上的这台服务器却不行 🙅♂️。
2. 然后根据部分网络搜索结果,找到了 “本地组策略编辑器”。却发现 安全设置 下面的配置项都是被加锁的,依然无法修改。
3. 上述两处无法修改的原因是因为这台服务器从属于一个 Windows 域,要修改域内主机的这些配置,必须使用域控服务器上的“组策略管理器”,来修改所谓的 Group Policy Object (GPO)。(对于域内主机而言,GPO 的优先级要大于本机配置。修改好 GPO 后,稍等一些时间,配置会自动同步覆盖到域内主机。)
a. 在域控服务器上,在开始菜单键入 gpmc.msc 来打开 “组策略管理器”。
b. 在 林 – 域 – 组策略对象 – Default Domain Policy 上右键编辑。打开“组策略管理编辑器”。
c. 在 计算机配置 – 策略 – Windows 设置 – 安全设置 – 本地策略 – 审核策略 下。可以用来修改在 “事件查看器” 中安全事件的审核记录策略。比如这里修改 审核对方访问 为只记录 失败 的事件,这样在安全日志中就不会再记录 事件 ID 为 5156 的审核成功事件。
d. 在 计算机配置 – 策略 – 管理模版: – Windows 组件 – 事件日志服务 – 安全 下。可以禁用日志文件写满后自动备份!这样子就不会再生成 Archive-Security-yyyy.evtx 文件了!
e. 修改好组策略后,在 cmd 窗口运行 gpupdate 命令强制生效(不确定是否必须)。