Настройка размера журнала Event Viewer в Windows

at0mSec

Журналы просмотра событий Windows хранят полезную информацию, которая необходима при анализе состояния служб и приложений в Windows, устранении ошибок и аудите событий безопасности. По умолчанию размер журналов Event Viewer в Windows ограничен, и при превышении размера файла новые события начинают перезаписывать старые. Если в Event Viewer отправляется слишком много событий, в журнал могут записываться только последние несколько часов, что может оказаться недостаточным для эффективного мониторинга и анализа журналов.

Чтобы предотвратить перезапись старых событий и обеспечить постоянное наличие событий за достаточно длительный период, можно увеличить максимальный размер журналов Event Viewer.

Содержание:

Как установить размер журнала событий Windows с помощью PowerShell?

Файлы журнала событий Windows хранятся в папке %SystemRoot%\System32\Winevt\Logs\ каталоге как .EVTX файлы. Обратите внимание, что для каждого журнала существует отдельный файл. Таким образом, вы можете управлять максимальным размером только тех журналов Windows, которые вам нужны, и оставить настройки по умолчанию для остальных.

Файлы журнала WinEvt с расширением EVTXФайлы журнала WinEvt с расширением EVTX

С помощью PowerShell можно просмотреть текущие ограничения для всех включенных журналов Event Viewer в Windows:

Get-Eventlog -List

PowerShell Get-Eventlog : список журналов событийPowerShell Get-Eventlog : список журналов событий

Вы можете использовать команду Get-WinEvent, чтобы получить размер определенного файла журнала событий. Например, вот как можно получить текущий и максимальный размер файла журнала Security:

Get-WinEvent -ListLog Security| Select MaximumSizeInBytes, FileSize, IsLogFull, OldestRecordNumber, IsEnabled, LogMode

Get-WinEvent - просмотр MaximumSizeInBytes и FileSizeGet-WinEvent - просмотр MaximumSizeInBytes и FileSize

Вы можете использовать PowerShell для получения общего размера папки, содержащей файлы журнала событий:
"{0:N2} MB" -f ((gci c:\windows\System32\Winevt\Logs\| measure Length -s).sum / 1Mb)

Чтобы увеличить максимальный размер журнала, можно использовать команду wevtutul инструмент командной строки (новый размер задается в байтах):

wevtutil sl "Application" /ms:200000000

Или вы можете использовать PowerShell для установки нового максимального размера файла журнала приложений:

Limit-Eventlog -Logname Application -MaximumSize 200MB -OverflowAction OverwriteOlder

Настройка размера файла журнала событий из консоли средства просмотра событий

Самый простой способ увеличить максимальный размер журнала — это сделать это непосредственно из консоли Event Viewer.

  1. Откройте оснастку Event Viewer MMC (eventvwr.msc);
  2. Выберите нужный журнал (например, Security) и откройте его свойства;
  3. Установите новый лимит в разделе Максимальный размер журнала (КБ) и сохраните изменения; Как увеличить максимальный размер журнала событий из консоли Event Viewer?Как увеличить максимальный размер журнала событий с помощью консоли Event Viewer?
  4. Вы также можете выбрать действие, которое будет предпринято при достижении максимального размера файла журнала: Перезаписывать события по мере необходимости (сначала самые старые события). Этот режим используется по умолчанию и подразумевает, что новые события просто перезаписывают старые.
    Архивировать журнал при заполнении, не перезаписывать события — текущий журнал событий архивируется в \System32\Winevt\Logs\ , а новые события записываются в новый файл EVTX. Доступ к заархивированным файлам событий можно получить через меню Open Saved Log (Открыть сохраненный журнал) в средстве просмотра событий.
    Не перезаписывать события (Очистить журнал вручную) — Включите эту опцию, чтобы защитить старые события от перезаписи. Обратите внимание, что для записи новых событий журнал должен быть очищен вручную.

Увеличение размера файлов журнала событий Windows с помощью GPO

Вы можете использовать групповые политики для централизованного управления размером файлов журнала событий на компьютерах или серверах в домене Active Directory.

  1. Запустите оснастку «Управление групповыми политиками» (gpmc.msc), создайте новый GPO и свяжите его с организационными единицами с компьютерами или серверами, для которых вы хотите изменить параметры Event Viewer (вы также можете связать GPO с корнем домена);
  2. Перейдите к следующему разделу GPO Конфигурация компьютера -> Политика -> Административные шаблоны -> Windows Components -> Служба журнала событий. Этот каталог содержит узлы для управления основными журналами Windows: 
    Application
Security
Setup
System
  3. Чтобы увеличить максимальный размер журнала, выберите параметр Укажите максимальный размер файла журнала (КБ) , включите эту опцию и установите необходимый размерGPO: укажите максимальный размер файла журнала GPO: Укажите максимальный размер файла журнала ;
  4. Обновите параметры групповой политики на клиентах и убедитесь, что в свойствах журнала теперь указан новый максимальный размер файла журнала и что его нельзя изменить. Если вы попытаетесь задать другой размер, появится ошибка:
    Event Viewer Указанный максимальный размер журнала недействителен. Он слишком велик или слишком мал.Средство просмотра событий Указанный максимальный размер журнала недействителен. Слишком большой или слишком маленький 
    Event Viewer
The Maximum Log Size specified is not valid. It is too large or too small. The Maximum Log Size will be set to the following: 61440 KB
Увеличение максимального размера журнала безопасности на контроллерах домена Active Directory позволяет:

  • Хранить историю входа пользователя в домен и просматривать успешные/неудачные попытки входа на определенный узел Windows;
  • Поиск источника блокировки учетной записи пользователя в AD;
  • Определите, кто создал пользователя в AD, сбросьте пароль пользователя или измените членство в определенной группе безопасности.

Описанный выше раздел GPO не содержит опций для других журналов событий из Журналы приложений и служб -> Microsoft. Если вам нужно увеличить размер другого журнала событий (отличного от стандартного), вы можете сделать это через реестр. Параметры журнала событий Windows хранятся в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\<log_name>. Максимальный размер файла журнала определяется параметром MaxSize параметр (тип REG_DWORD). Значение параметра MaxSize в реестре для пользовательского журнала событий на компьютерах домена можно настроить с помощью привилегий групповой политики.

Узнайте, как использовать GPO для настройки ключей и параметров реестра.

В этом примере мы собираемся увеличить размер файла Служба каталогов журнал на контроллерах домена. Параметры этого журнала хранятся в следующем ключе реестра HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Directory Service.

Изменение максимального размера файла Event Viewer через реестрИзменение максимального размера файла Event Viewer через реестр

  1. Откройте GPO и перейдите в раздел Конфигурация компьютера -> Предпочтения -> Настройки Windows -> Реестр;
  2. Выберите Новый -> Пункт реестра;
  3. Создайте новый параметр реестра со следующими настройками: 
    Hive: HKEY_LOCAL_MACHINE
Key path: SYSTEM\CurrentControlSet\Services\EventLog\Directory Service
Value name: MaxSize
Value type: REG_DWORD
Value data: 52428800 (the maximum file size is given in bytes. In our example it is 50 MB.)

    Увеличение размера журнала Event Viewer через привилегии групповой политикиУвеличение размера журнала просмотра событий через привилегии групповой политики

  • Проверьте, что максимальный размер журнала установлен после обновления GPO на DC. Проверка нового размера средства просмотра событий в WindowsПроверка нового размера программы просмотра событий в Windows
Например, если вы хотите хранить журналы с историей подключений Remote Desktop к хосту RDS за длительный период, вам нужно увеличить размер файла Terminal-Services-RemoteConnectionManager журнал.

Увеличивая размер журналов событий Windows, вы можете получить больше информации за более длительное время. Например, с помощью журналов событий можно получить историю перезагрузки Windows, узнать, кто удалил файл из общей сетевой папки или изменил разрешения NTFS.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *