يتم حفظ الأحداث في ملف السجل الذي يمكن أن يصل حجمه فقط إلى الحد الأقصى للحجم القابل للتكوين. وبعد وصول الملف إلى الحد الأقصى للحجم، يتم تحديد ما يطرأ على الأحداث الواردة بواسطة نهج استبقاء السجل. تكون نُهج استبقاء السجلات المتوفرة كما يلي:
| نهج الاستبقاء | الوصف |
|---|---|
|
Overwrite events as needed. |
استمرار تخزين الأحداث الجديدة عندما يكون سجل الأحداث ممتلئاً. ويتم استبدال الحدث القديم بالحدث الجديد الوارد في السجل. |
|
Archive the log when full, do not overwrite events. |
يتم أرشفة السجل تلقائياً عند الضرورة. ولا يتم الكتابة فوق أي أحداث. |
|
Do not overwrite events. (Clear logs manually.) |
يتم مسح السجل يدوياً بدلاً من مسحه تلقائياً. |
يمكنك تعيين نهج استبقاء السجل عن طريق استخدام واجهة Windows أو أداة سطر الأوامر Wevtutil.
 | تعيين نهج استبقاء السجل عن طريق استخدام واجهة Windows |
قم ببدء تشغيل "عارض الأحداث" (Event Viewer).
في شجرة وحدة التحكم، انتقل إلى سجل الأحداث الذي ترغب في إدارته ثم قم بتحديده.
في القائمة Action، انقر فوق Properties.
في القسم Enable Logging الموجود في علامة التبويب General، حدد الخيار الذي يتوافق مع نهج الاستبقاء الذي ترغب في تعيينه.
انقر فوق OK.
| تعيين نهج الاستبقاء عن طريق استخدام سطر الأوامر |
لفتح موجه الأوامر، انقر فوق Start، ثم فوق Run، واكتب cmd، ثم انقر فوق OK.
اكتب الأمر التالي:
wevtutil sl <LogName> /r:{true | false} /ab:{true | false}
تحدد المعلمة 'r' ما إذا كنت ترغب في الاحتفاظ بالسجل وتحدد المعلمة 'ab' ما إذا كنت ترغب في نسخ السجل احتياطياً بشكل تلقائي. توضح القائمة التالية قيم المعلمات الخاصة بأداة سطر الأوامر Wevtutil التي تتوافق مع كل نهج من نُهج الاستبقاء الموضحة أعلاه.
-
Overwrite events as needed: r = خطأ و ab = خطأ
-
Archive the log when full, do not overwrite events: r = صحيح و ab = صحيح
-
Do not overwrite events. (Clear logs manually.): r = صحيح و ab = خطأ
لعرض بنية الجملة الكاملة لهذا الأمر، اكتب الأمر التالي:
wevtutil sl -?
اعتبارات إضافية
-
يجب أن تكون عضواً في مجموعة Administrators لتعيين نهج استبقاء السجل.