События сохраняются в файле журнала, размер которого может увеличиваться только до заданного максимального значения. После достижения файлом максимального размера, обработка поступающих событий будет определяться политикой хранения журналов. Доступны следующие политики сохранения журнала:
Политика сохранения | Описание |
---|---|
Затирать старые события по необходимости. |
Новые записи продолжают заноситься в журнал после его заполнения. Каждое новое событие заменяет в журнале наиболее старое. |
Архивировать заполненный журнал, не переписывая события. |
Файл журнала автоматически архивируется при необходимости. Перезапись устаревших событий не выполняется. |
Не переписывать события (очистить журнал вручную). |
Журнал очищается вручную, а не автоматически. |
Настроить политику хранения журналов можно с помощью интерфейса Windows или с помощью средства командной строки Wevtutil.
Чтобы настроить политику сохранения журналов с помощью интерфейса Windows: |
-
Запустите программу «Просмотр событий».
-
В дереве консоли найдите и выберите нужный журнал событий.
-
В меню Действие выберите команду Свойства.
-
В разделе Включить ведение журнала вкладки Общие выберите требуемый параметр для политики сохранения журнала.
-
Нажмите кнопку ОК.
Чтобы настроить политику сохранения журнала с помощью командной строки: |
-
Откройте командную строку, нажав Пуск, Выполнить, введите cmd и нажмите кнопку ОК.
-
Введите следующую команду:
wevtutil sl <LogName> /r:{true | false} /ab:{true | false}
Параметр «r» определяет, хранить ли журнал, а параметр «ab» определяет, необходимо ли его автоматическое резервировное копирование. В приведенном ниже списке указаны значения параметров средства командной строки Wevtutil, соответствующие каждой из указанных политик хранения.
- Заменять события по необходимости: r = false,
ab = false
- Архивировать журнал после его заполнения, не
заменять события: r = true, ab = true
- Не заменять события. (Очистка журналов
вручную.): r = true, ab = false
Чтобы просмотреть полный синтаксис этой команды, введите в командной строке:
wevtutil sl -?
Дополнительная информация
- Выполнять настройку политики сохранения
журнала разрешено только пользователям, которые являются членами
группы «Администраторы».