我正在尝试为 Eventlog 创建一个存档,但它似乎不起作用。
服务器 2k12 R2 环境。
以下是我启用的 GPO:
我已经重新启动服务器并确保它正在使用“gpresult /r /scope computer”应用。我还使用 gpedit.msc 在本地进行了检查,并且成功传播了相同的设置。不幸的是,除了“审核日志已满”弹出窗口外,日志不断被覆盖。
我不妨提一下,目前所有日志的大小都是 100MB。
编辑:我启动了进程监视器并发现了这个:
这对我来说太奇怪了。为什么它可以写入 Security.evtx 但无法创建新文件?如果系统对该目录具有完全控制权,可能会缺少什么?
解决方案:
ICACLS C:\Windows\System32\winevt\logs /grant *S-1-5-80-880578595-1860270145-482643319-2788375705-1540778122:(F)
Eventlog 似乎是由一个名为 Eventlog 的安全组控制的。我不确定为什么,但它对 eventlog 目录根本没有权限。
请注意,由于某种原因,这并未将实际权限添加到目录。执行后,我必须为“eventlog”组手动勾选“完全权限”。另请注意,您可以使用“NT SERVICE\EVENTLOG”简单地手动添加它。