none
Microsoft Event Collector RRS feed

  • Domanda

  • Salve a tutti,

    per policy aziendali ho dovuto configurare la raccolta degli eventi per il registro sicurezza.

    Leggendo in internet ho trovato che la dimensione massima consigliata per ogni registro eventi è di 4194240 KB.

    La cosa mi preoccupa perchè nel giro di sole 4 ore è arrivato a 150 MB (raccoglie gli accessi di 3 DC) e dovendo mantenere i log per 6 mesi suppongo che nel giro di qualche giorno/mese si riempa creandomi magari problemi.

    Per evitare che vengano sovrascritti ho spuntato nelle proprietà, "Archivia registro quando è pieno (non cancellarli)".

    Qualcuno sà di dirmi se la configurazione che ho fatto è giusta o potrei migiorarla?

    Dove vanno i log "archiviati" una volta pieni?

    Altre soluzioni? 

    Grazie anticipatamente,

    Stefano

    giovedì 25 ottobre 2012 18:02

Risposte

  • Per evitare che vengano sovrascritti ho spuntato nelle proprietà, "Archivia registro quando è pieno (non cancellarli)".

    Qualcuno sà di dirmi se la configurazione che ho fatto è giusta o potrei migiorarla?

    Giusta, ma io sposterei tutti i log degli eventi dal disco di sistema (di default si trovano in "C:\Windows\System32\winevt\Logs") su di un disco meno critico.  

    Dove vanno i log "archiviati" una volta pieni?

    Dovrebbero finire nella stessa directory dove vengono salvati con un nome tipo Archive-Application-2012-10-25-20-36-01-421.evtx, ma farei delle verifiche, soprattutto nel caso di tu abbia seguito il mio precedente consiglio "cambio psizione di default".

    Ho usato il condizionale, perchè non ho trovato un doc ufficiale di microsoft, il tutto è basato sulla mia esperienza personale.

    Aggiungerei un batch temporizzato che  faccia una compressione e spostamento dei "log archiviati" ... zippando il file potrai ridurre di 20/30 le dimensioni dei file originali.

    Altre soluzioni?

    Divertirsi a scrivere qualcosa in powershell per automatizzare i task di archiviazione ...

    Ciao

    Gas



    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito (non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili . GRAZIE!



    giovedì 25 ottobre 2012 21:19
    Moderatore

Tutte le risposte

  • Per evitare che vengano sovrascritti ho spuntato nelle proprietà, "Archivia registro quando è pieno (non cancellarli)".

    Qualcuno sà di dirmi se la configurazione che ho fatto è giusta o potrei migiorarla?

    Giusta, ma io sposterei tutti i log degli eventi dal disco di sistema (di default si trovano in "C:\Windows\System32\winevt\Logs") su di un disco meno critico.  

    Dove vanno i log "archiviati" una volta pieni?

    Dovrebbero finire nella stessa directory dove vengono salvati con un nome tipo Archive-Application-2012-10-25-20-36-01-421.evtx, ma farei delle verifiche, soprattutto nel caso di tu abbia seguito il mio precedente consiglio "cambio psizione di default".

    Ho usato il condizionale, perchè non ho trovato un doc ufficiale di microsoft, il tutto è basato sulla mia esperienza personale.

    Aggiungerei un batch temporizzato che  faccia una compressione e spostamento dei "log archiviati" ... zippando il file potrai ridurre di 20/30 le dimensioni dei file originali.

    Altre soluzioni?

    Divertirsi a scrivere qualcosa in powershell per automatizzare i task di archiviazione ...

    Ciao

    Gas



    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito (non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili . GRAZIE!



    giovedì 25 ottobre 2012 21:19
    Moderatore
  • Grazie mille per la risposta Gastone.

    Un saluto,

    Stefano

    • Contrassegnato come risposta Stefano Gentili venerdì 26 ottobre 2012 06:21
    • Contrassegno come risposta annullato Stefano Gentili venerdì 26 ottobre 2012 06:22
    venerdì 26 ottobre 2012 06:21