Windows Server 2008 qual é a maneira correta de exportar ou fazer backup do log de eventos de segurança

2

Usando WEVTUTIL.EXE para exportar o log de eventos de segurança do Windows Server 2008, obtenho um problema de permissão (tenho privilégios de administrador):

c:> wevtutil epl security test.evtx

"Falha ao exportar a segurança do registro. O acesso foi negado."

Estou tentando escrever um script para fazer backup e limpar os logs de eventos do aplicativo, segurança, instalação e sistema. O log de segurança é o único que dá problemas. Como faço para backup e desmarque isso? Eu gostaria de saber a maneira "correta" de fazer isso, porque eu não quero perturbar as pessoas de segurança (auditores, forense, etc).

    
por zako42 05.04.2014 / 01:16

1 resposta

2

Usando a Política de Grupo ou a política local da máquina, vá para

Computer Configuration -> 
  Administrative Templates -> 
    Windows Components -> 
      Event Log Service -> 
         [Application|Security|Setup|System]

E defina a configuração "Fazer backup do log automaticamente quando estiver cheio".

This policy setting controls Event Log behavior when the log file reaches its maximum size and takes effect only if the "Retain old events" policy setting is enabled.

If you enable this policy setting and the "Retain old events" policy setting is enabled, the Event Log file is automatically closed and renamed when it is full. A new file is then started.

If you disable this policy setting and the "Retain old events" policy setting is enabled, new events are discarded and old events are retained.

If you do not configure this policy setting and the "Retain old events" policy setting is enabled, new events are discarded and the old events are retained.

Depois, tudo o que o seu script precisa fazer é coletar periodicamente o diretório dos arquivos de log de eventos arquivados e transferi-los para o compartilhamento de rede.

    
por 05.04.2014 / 03:50