Configurações da Política de Grupo para Logs de Eventos

Não, você não deve definir seus registros assim e ambos serão aplicados. Seu Event Logs terá um tamanho máximo de ~ 1 GiB, e os eventos serão redigidos após 30 dias. Com toda a probabilidade, isso significa que seus registros nunca atingirão o tamanho máximo, porque eles continuarão se sobrescrevendo a cada 30 dias, bem antes de atingirem o tamanho máximo. (A menos que você tenha um log muito detalhado para tudo, então você pode conseguir preencher um GiB com logs em 30 dias.)

A retenção por dias só é realmente útil se, conforme a explicação, você arquivar os logs em x dias, porque os Registros de Eventos do servidor conterão apenas eventos que não estão nas cópias arquivadas. Que você teve que fazer a pergunta me diz que é muito improvável que você esteja em tal situação.

Em vez disso, você deve [provavelmente] definir os arquivos de log ' Retention method to Overwrite event as needed e deixar a configuração retain [type] log indefinida. Quando atingem o tamanho máximo, em vez de impedir que o sistema seja iniciado, eles sobrescrevem os eventos mais antigos.

E, a propósito, você deve ler essas explicações e outras documentações fornecidas. Mais frequentemente do que não, está lá e explicitamente precisamente para evitar que você se atire no pé por não saber melhor.

Tão confiante e bem escrito quanto a resposta de Joe pode ser - e eu realmente queria acreditar nele, acho que ele está errado. Voltei e releia cuidadosamente a explicação desses itens de GPO. Está claro para mim que o 'Reter log de segurança' e o 'método de retenção'. . "Os itens de GPO segmentam claramente EVENTOS (itens de linha individuais em um log), não os próprios arquivos de log arquivados (que são criados quando você seleciona" Arquivar o log quando está cheio, não sobrescrever eventos "nas propriedades do log de eventos.)

Se você manualmente (ou programaticamente) arquivar seus logs em uma programação, mas NÃO quiser ir ao log e limpá-lo manualmente, é claro que você deseja que ele 'inicie novamente' após cada um seus arquivos / backups. Por isso, 'Reter a explicação do Log de Segurança' determina o número de dias de eventos a serem retidos. ' e o método "wrapping" do método "Retention" para o log "'estão falando sobre eventos, não sobre arquivos.

Não dê muita atenção ao cara que recomendou deixar seus registros para "sobrescrever conforme necessário". Isso é um conselho horrível e horrível. Param, você está na trilha correta. Essas configurações estão bem. A especificação no tamanho do arquivo para seus logs de eventos é aceitável. uma política de retenção de 30 dias também é boa, mas depende inteiramente da política de retenção da sua organização.

O que o cara que está dando o conselho horrível não percebe é que a configuração do Método de retenção não afeta o arquivo de log de eventos "ativo". Isso afeta apenas o log de eventos "Arquivado", que é a cópia retida do log de eventos. Quando um log de eventos atinge a capacidade designada, o Windows faz uma cópia do log de eventos e o rotula como "Arquivamento". Em seguida, o arquivo de log de eventos ativo é limpo. A política de retenção afeta apenas os arquivos de log de eventos arquivados. Você precisará prestar atenção à sua capacidade de unidade. Dependendo de quantos logs seu sistema gera, é possível preencher rapidamente a unidade na qual seus logs de eventos estão localizados. É uma prática recomendada designar uma unidade separada de grande capacidade e executar uma tarefa de backup de seus eventos arquivados nessa unidade.

Substituir seus registros de eventos é uma grande preocupação de segurança.