ivyserver
2003-04-20, 03:10 PM
保有WIN2K SERVER事件記錄的最佳方式
在WIN2K SERVER中事件記錄的保存方式通常為
1.記錄檔大小
2.依多少日後刪除
可是我發現這都是短期的記錄方式
有某一些記錄檔是必需長期保存的,例:安全性
其中記錄了各類登入或存取稽核,這都是很大量的
在未來出問題時想要反查才會有資料可查詢
但WIN2K中預設的幾種方式好像都不是很好
因為可能在到達極限時,舊的記錄會被自動刪除
有沒有方法可達到以下兩種方式
===========================================
1.每天自動將LOG存檔成不重覆有順序的名稱,存檔後將舊的刪除
2.到達某個K數大小後自動將LOG存檔成不重覆有順序的名稱,存檔後將舊的刪除
===========================================
我覺得這樣才能在未來發生狀況時
有足夠的LOG可對過去檢查稽核情況
PS:排除手動每天存檔,因為很沒效率
mis339
2003-04-22, 04:14 AM
參考看看。
http://www.microsoft.com/taiwan/technet/scriptcenter/logs/ScrLog04.htm
說明
備份並清除應用程式事件日誌。
範例指令碼
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Backup)}!\\" & _
strComputer & "\root\cimv2")
Set colLogFiles = objWMIService.ExecQuery _
("Select * from Win32_NTEventLogFile where LogFileName='Application'")
For Each objLogfile in colLogFiles
errBackupLog = objLogFile.BackupEventLog("c:\scripts\application.evt")
If errBackupLog <> 0 Then
Wscript.Echo "The Application event log could not be backed up."
Else
objLogFile.ClearEventLog()
End If
Next
ivyserver
2003-06-14, 09:15 PM
最初由 mis339 發表
參考看看。
http://www.microsoft.com/taiwan/technet/scriptcenter/logs/ScrLog04.htm
說明
備份並清除應用程式事件日誌。
範例指令碼
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Backup)}!\\" & _
strComputer & "\root\cimv2")
Set colLogFiles = objWMIService.ExecQuery _
("Select * from Win32_NTEventLogFile where LogFileName='Application'")
For Each objLogfile in colLogFiles
errBackupLog = objLogFile.BackupEventLog("c:\scripts\application.evt")
If errBackupLog <> 0 Then
Wscript.Echo "The Application event log could not be backed up."
Else
objLogFile.ClearEventLog()
End If
Next
它是可以抓出LogFileName='Application',應用程式記錄檔
我後來也測得LogFileName='System',為系統記錄檔
可是在DC上還有4種記錄,我無法抓出來
1.安全性記錄檔
2.Directory Service
3.DNS Server
4.檔案複寫服務
因為不知它們的LogFileName是什麼?