Les événements sont stockés dans un fichier journal qui ne peut s’agrandir que jusqu’à une taille maximale configurable. Lorsque le fichier a atteint sa taille maximale, c’est la stratégie de rétention du journal qui détermine ce qui va arriver aux événements entrants. Les stratégies de rétention du journal suivantes sont disponibles :
| Stratégie de rétention | Description |
|---|---|
|
Remplacer les événements si nécessaire. |
Continuer à stocker de nouveaux événements lorsque le fichier journal est saturé. Chaque nouvel événement entrant remplace l’événement le plus ancien du journal. |
|
Archiver le journal lorsqu’il est saturé, ne pas remplacer les événements. |
Le journal est automatiquement archivé si nécessaire. Aucun événement n’est remplacé. |
|
Ne pas remplacer les événements (Effacer manuellement les journaux) |
Effacer les journaux manuellement et non automatiquement. |
Vous pouvez définir cette stratégie de rétention du journal à l’aide de l’interface Windows ou de l’outil de ligne de commande Wevtutil.
 | Pour définir la stratégie de rétention du journal à l’aide de l’interface Windows |
Démarrez l’observateur d’événements.
Dans l’arborescence de la console, localisez et sélectionnez le journal des événements que vous souhaitez gérer.
Dans le menu Action, cliquez sur Propriétés.
Dans la section Activer l’enregistrement de l’onglet Général, sélectionnez l’option qui correspond à la stratégie de rétention que vous souhaitez définir.
Cliquez sur OK.
| Pour définir la stratégie de rétention du journal à l’aide de la ligne de commande |
Pour ouvrir une invite de commandes, cliquez sur Démarrer, puis sur Exécuter, tapez cmd, puis cliquez sur OK.
Tapez la commande suivante :
wevtutil sl <LogName> /r:{true | false} /ab:{true | false}
Le paramètre « r » spécifie si le journal doit être conservé et le paramètre « ab » spécifie si le journal doit être sauvegardé automatiquement. La liste suivante indique les valeurs des paramètres de l’outil de ligne de commande Wevtutil correspondant à chacune des stratégies de rétention ci-dessus.
-
Remplacer les événements si nécessaire : r = false, ab = false
-
Archiver le journal lorsqu’il est saturé, ne pas remplacer les événements : r = true, ab = true
-
Ne pas remplacer les événements. (Effacer manuellement les journaux) : r = true, ab = false
Pour afficher la syntaxe complète de cette commande, tapez la commande suivante :
wevtutil sl -?
Considérations supplémentaires
-
Vous devez être membre du groupe Administrateurs pour définir une stratégie de rétention du journal.