События сохраняются в файле журнала, размер которого может увеличиваться только до заданного максимального значения. После достижения файлом максимального размера, обработка поступающих событий будет определяться политикой хранения журналов. Доступны следующие политики сохранения журнала:

Политика сохранения Описание

Затирать старые события по необходимости.

Новые записи продолжают заноситься в журнал после его заполнения. Каждое новое событие заменяет в журнале наиболее старое.

Архивировать заполненный журнал, не переписывая события.

Файл журнала автоматически архивируется при необходимости. Перезапись устаревших событий не выполняется.

Не переписывать события (очистить журнал вручную).

Журнал очищается вручную, а не автоматически.

Настроить политику хранения журналов можно с помощью интерфейса Windows или с помощью средства командной строки Wevtutil.

Чтобы настроить политику сохранения журналов с помощью интерфейса Windows:

  1. Запустите программу «Просмотр событий».

  2. В дереве консоли найдите и выберите нужный журнал событий.

  3. В меню Действие выберите команду Свойства.

  4. В разделе Включить ведение журнала вкладки Общие выберите требуемый параметр для политики сохранения журнала.

  5. Нажмите кнопку ОК.
Чтобы настроить политику сохранения журнала с помощью командной строки:

  1. Откройте командную строку, нажав Пуск, Выполнить, введите cmd и нажмите кнопку ОК.

  2. Введите следующую команду:

    wevtutil sl <LogName> /r:{true | false} /ab:{true | false}

Параметр «r» определяет, хранить ли журнал, а параметр «ab» определяет, необходимо ли его автоматическое резервировное копирование. В приведенном ниже списке указаны значения параметров средства командной строки Wevtutil, соответствующие каждой из указанных политик хранения.

  • Заменять события по необходимости: r = false, ab = false

  • Архивировать журнал после его заполнения, не заменять события: r = true, ab = true

  • Не заменять события. (Очистка журналов вручную.): r = true, ab = false

Чтобы просмотреть полный синтаксис этой команды, введите в командной строке:

wevtutil sl -?

Дополнительная информация

  • Выполнять настройку политики сохранения журнала разрешено только пользователям, которые являются членами группы «Администраторы».

Дополнительные ссылки

Содержание