監査ログがいっぱいです-イベントログアーカイブGPO機能していません
イベントログのアーカイブを作成しようとしていますが、機能しないようです。
サーバー2k12R2環境。
以下はGPO有効にしました:
サーバーを再起動し、「gpresult/r/scopecomputer」を使用してサーバーが適用されていることを確認しました。また、gpedit.mscを使用してローカルで確認したところ、同じ設定が正常に伝達されました。残念ながら、「監査ログがいっぱいです」ポップアップの他に、ログは上書きされ続けます。
現在、すべてのログのサイズは100MBです。
編集:私はプロセスモニターを起動し、これを見つけました:
それは私にはあまりにも奇妙に見えます。 Security.evtxに書き込むことができるのに、新しいファイルを作成できないのはなぜですか?システムがそのディレクトリを完全に制御している場合、何が欠落している可能性がありますか?
解決:
ICACLS C:\ Windows\System32\winevt\logs/grant * S-1-5-80-880578595-1860270145-482643319-2788375705-1540778122:(F)
Eventlogは、Eventlogと呼ばれるセキュリティグループによって制御されているようです。理由はわかりませんが、eventlogディレクトリに対する権限がまったくありませんでした。
これは、何らかの理由でディレクトリに実際のアクセス許可を追加しなかったことに注意してください。実行後、「eventlog」グループの「FullPermissions」に手動でチェックマークを付ける必要がありました。また、「NTSERVICE\EVENTLOG」を使用して手動で追加することもできます。