none
server 2012 event viewer问题 RRS feed

 > 

  • 问题

  • Question
    登录进行投票
    0
    登录进行投票

    如上面2张图,系统盘未满,但是图二的size超过了maximum,虽然现在还是能看到Event Viewer(Local)->Windows Logs->Security的LOG继续存储,但是有点担心。感觉上即使超过最大值只要系统盘还有空间的话,应该可以继续存储LOG,但是还是担心会不会何时就停止记录LOG了;这个观点应该没错的吧,只要系统盘不满的话就可以继续存log,即使超过maximum?同时,想请问大牛们,那些LOG可以移走吗?那些LOG的位置一般在系统盘的哪里的啊?移走后如果想做审计可以调回来查看吗?或者有什么办法调整那些相关LOG那个MAXIMUM的size空间大小?或者有什么更好的建议,可以给下小弟。

    2016年7月8日 1:44
    |

答案

  • Question
    登录进行投票
    0
    登录进行投票

    你好,

    理论上来说,超过了最大值,旧的日志就会被删掉。Retention policy那一栏也说明了。

    在log上面右击,打开属性,就可以看到存储位置。比如你展开Windows logs, 在security上右击,点Properties。会弹出一个窗口,log path就是他存储的路径。

    不建议直接操作磁盘上存储的日志文件,如果要导出的话,可以在event viewer中操作。在security上右击,点Save All Events As..., 就可以自己选择一个位置存放了。

    如果要查看导出的log,也可以在event viewer中操作。比如在security上右击,点Open Saved Log,然后在弹出的窗口中选择你要看的log就行了。

    调整maximum值的话,也是在属性里面操作。

    Best Regards,

    Leo

    Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com.

    2016年7月8日 5:28
    |
    版主