事件會儲存於記錄檔中,而該檔案僅會成長到可設定的最大大小。在檔案已經到達它的最大大小之後,連入事件的內容將由記錄檔保留原則來決定。可用的記錄檔保留原則如下:
| 保留原則 | 描述 |
|---|---|
|
視需要覆寫事件。 |
當記錄檔已滿時,會持續儲存新事件。每個新的連入事件都會取代記錄檔中最舊的事件。 |
|
當記錄檔已滿時進行封存,不要覆寫事件。 |
如有需要,會自動封存記錄檔。不要覆寫任何事件。 |
|
不要覆寫事件。(手動清除記錄檔)。 |
手動 (而非自動) 清除記錄檔。 |
您可以使用 Windows 介面或 Wevtutil 命令列來設定記錄檔保留原則。
 | 若要使用 Windows 介面設定記錄檔保留原則 |
啟動事件檢視器。
在主控台樹狀目錄中,瀏覽並選取您要管理的事件記錄檔。
在 [執行] 功能表,按一下 [內容]。
在 [一般] 索引標籤的 [啟用記錄] 區段中,選取對應至您要設定之保留原則的選項。
按一下 [確定]。
| 使用命令列設定保留原則 |
若要開啟命令提示字元,請依序按一下 [開始] 及 [執行],輸入 cmd 並按一下 [確定]。
輸入下列命令:
wevtutil sl <LogName> /r:{true | false} /ab:{true | false}
此處的 'r' 參數指定是否要保留記錄檔,而 'ab' 參數則是指定是否要自動備份記錄檔。下列清單顯示對應到上述每個保留原則的 Wevtutil 命令列工具的參數值。
-
視需要覆寫事件:r = false, ab = false
-
當記錄已滿時進行封存,不要覆寫事件:r = true, ab = true
-
不要覆寫事件。(手動清除記錄檔。):r = true, ab = false
若要檢視此命令的完整語法,請輸入下列命令:
wevtutil sl -?
其他考量
-
您必須是 Administrators 群組成員,才可以設定記錄檔保留原則。