Windows 2008导出或备份安全事件日志的正确方法是什么

Question

使用WEVTUTIL.EXE导出Windows 2008安全事件日志时，会遇到一个权限问题(我拥有管理员权限)：

c:> wevtutil epl security test.evtx

“导出日志安全性失败。访问被拒绝。”

我试图编写一个脚本来备份和清除应用程序、安全性、设置和系统事件日志。安全日志是唯一存在问题的日志。我怎么备份和清除它？我想知道做这件事的“适当”方法，因为我不想让安全人员(审计师、法医等)感到不安。

Answer 1

通过在机器上使用组策略或本地策略，转到

Computer Configuration -> 
  Administrative Templates -> 
    Windows Components -> 
      Event Log Service -> 
         [Application|Security|Setup|System]

并配置设置“在满时自动备份日志”。

当日志文件达到最大大小时，此策略设置控制事件日志行为，并且仅在启用“保留旧事件”策略设置时才生效。如果启用此策略设置，并且启用“保留旧事件”策略设置，则事件日志文件在已满时自动关闭并重命名。然后启动一个新文件。如果禁用此策略设置并启用“保留旧事件”策略设置，则将丢弃新事件并保留旧事件。如果不配置此策略设置，并且启用“保留旧事件”策略设置，则将丢弃新事件并保留旧事件。

然后，脚本所需要做的就是定期获取存档事件日志文件的目录，并将它们传输到网络共享中。