Eu tenho algumas perguntas sobre os Logs de Eventos do Windows e permissões para as melhores práticas do servidor 2008 e o que os Usuários são em 2008.
Eu estou tentando escrever EVTLogs off para outra unidade em vez da unidade padrão. Quando eu redireciono os logs para outra unidade (via rt-click, propriedades, caminho de mudança), em vez do padrão C :, eles não conseguem gravar a menos que o servidor \ usuário tenha acesso à pasta na qual os logs estão gravando. Especificamente, os usuários têm as seguintes permissões: Criar arquivos / gravar dados; criar pastas / anexar dados; atravessar pasta / arquivo de execução; lista de pastas / dados lidos; ler atributos; leia atributos estendidos.
Se esta permissão não estiver na pasta, mesmo como administrador no servidor, a pasta mostrará um ícone de cadeado na pasta e o EVTLogs não gravará nesta pasta. Em 2003, apenas ter o SYSTEM com essas permissões parece funcionar, mas em 2008 isso não parece ser suficiente. Então, o que exatamente os usuários estão quebrando para ser e quais são algumas das melhores práticas para escrever EVTLogs para outra unidade em 2008?
No Windows Server 2008, há uma nova conta virtual usada para gerenciar arquivos de log. Você precisará dar "NT SERVICE \ eventlog" as seguintes permissões na nova pasta de log:
Permitir todos, exceto "Excluir", "Alterar permissões" e "Apropriar-se". Aplique permissões para "Esta pasta, subpastas e arquivos". "LOCAL SERVICE" deve ser o proprietário dos arquivos de log.