事件存储在只能增长到可配置的最大值的日志文件中。一旦文件大小达到其最大值,对传入事件所采取的操作将由日志保留策略决定。可用的日志保留策略如下所示:
| 保留策略 | 描述 |
|---|---|
|
按需要改写事件。 |
日志文件已满时继续存储新事件。每个新传入事件替换日志中最旧的事件。 |
|
日志满时将其存档,不改写事件。 |
必要时自动将日志存档。不改写任何事件。 |
|
不覆盖事件。(手动清除日志。) |
手动而非自动清除日志。 |
可以使用 Windows 界面或 Wevtutil 命令行工具来设置日志保留策略。
 | 使用 Windows 界面设置日志保留策略的步骤 |
启动事件查看器。
在控制台树中,导航到要管理的事件日志并将其选中。
在“操作”菜单上,单击“属性”。
在“常规”选项卡的“启用日志记录”部分中,选择与要设置的保留策略对应的选项。
单击“确定”。
| 使用命令行设置保留策略的步骤 |
若要打开命令提示符,请依次单击“开始”和“运行”,键入 cmd,然后单击“确定”。
键入下列命令:
wevtutil sl <LogName> /r:{true | false} /ab:{true | false}
“r”参数指定是否保留日志,“ab”参数指定是否自动备份日志。以下列表显示了与上述每个保留策略相对应的 Wevtutil 命令行工具参数值。
-
按需要覆盖事件:r = false,ab = false
-
日志满时将其存档,不覆盖事件:r = true,ab = true
-
不覆盖事件。(手动清除日志。):r = true,ab = false
若要查看该命令的完整语法,请键入以下命令:
wevtutil sl -?
其他注意事项
-
必须是管理员组的成员才能设置日志保留策略。