O log de auditoria está cheio - o GPO Eventlog Archive não está funcionando

Question

O log de auditoria está cheio - o GPO Eventlog Archive não está funcionando

#1 resposta do (1 votos)

1

Estou tentando criar um arquivo para o log de eventos, mas parece que não funciona.

Ambiente do Servidor 2k12 R2.

A seguir está o GPO que habilitei:

Eureinicieioservidoreverifiqueiseeleestásendoaplicadousando"gpresult / r / scope computer". Eu também verifiquei localmente usando o gpedit.msc e as mesmas configurações foram propagadas com sucesso. Infelizmente, além de um popup "Registro de auditoria está cheio", os registros continuam sendo substituídos.

Também devo mencionar que todos os registros têm atualmente 100 MB de tamanho.

Editar: Ativei o Process Monitor e descobri isto:

Parece estranho demais para mim. Como é possível gravar no Security.evtx, mas não é possível criar um novo arquivo? O que pode estar faltando se o sistema tiver controle total sobre esse diretório?

windows-event-log group-policy eventviewer

por JustAGuy 21.06.2016 / 11:20

1 resposta

Tags windows-event-log group-policy eventviewer

Dell C1100 piscando luz âmbar, sem saída de vídeo serverspec if statement for mysql version no servidor

score 1 · Accepted Answer

Solução:

ICACLS C: \ Windows \ System32 \ winevt \ logs / concessão * S-1-5-80-880578595-1860270145-482643319-2788375705-1540778122: (F)

Parece que o log de eventos é controlado por um grupo de segurança chamado Eventlog. Não sei por que, mas não tinha permissões no diretório do eventlog.

Observe que isso não adicionou as permissões reais ao diretório por algum motivo. Eu tive que marcar manualmente "Permissões Completas" para o grupo "eventlog" depois de executá-lo. Observe também que você pode simplesmente adicioná-lo manualmente usando "NT SERVICE \ EVENTLOG".