细粒度Windows事件日志控件-日志，但不保留某些事件ID

Question

我在VM实验室中乱搞，并使用灰色日志侧记录(一个监视Windows事件日志并将事件转发给中央日志收集器的进程)，在这种情况下，我想将某个日志发送到中央系统，但不希望将事件存储在本地系统上？

我将以事件ID 5154为例。我希望集中保留这些内容，但当启用时，它会导致windows事件日志频繁地旋转，从而阻碍了对系统事件日志的手动调查。

是否有可能做以下一件事：

• 将Windows配置为日志5154，但只保留该类型的最大事件数？例如，与其按固定大小旋转日志，不如将该事件的条目旋转到10,000个记录？
• 将Windows配置为“记录”事件，使日志转发代理(或WEF？)(不太熟悉它的机制)会看到事件，但不会干扰本地windows日志？

感谢你的帮助！

Answer 1

不，这不可能。您可以使用审核策略控制首先要登录的事件，但不能只保留某些事件的长期时间。

例如，Windows事件日志如何知道事件已成功发送到后端DB？

其次，它也会破坏事件日志的完整性，因为每个事件都有一个顺序编号。

唯一的选择是经常备份本地事件日志并压缩它以节省空间。我不知道如果您要将事件日志发送到远程目的地，为什么需要在本地保留这些事件日志？