Установить настройки журнала событий через GPO

Question

Как мне установить параметр «перезаписать при необходимости» в журналах событий, кроме приложения / безопасности / системы? В частности, я хотел бы применить это к журналам Powershell и Windows Powershell, в дополнение к любым другим будущим журналам, которые могут быть добавлены. Это должно применяться как к серверу 2003, так и к 2008 году.

Answer 1

Ничего себе. Я огляделся по этому поводу и не могу найти никаких ссылок для установки параметров GPO для журналов событий, кроме System, Application, Security. Это просто кажется неправильным. Вы должны будете написать его для своего домена, рабочей группы или рабочей станции с помощью wevtutil.exe (cmd) или limit-eventlog (powershell). Обе утилиты имеют встроенное удаленное соединение.

wevtutil sl <Log Name> /rt:false

limit-eventlog -Log Name  -OverFlowAction OverwriteAsNeeded

Answer 2

Я не верю, что это GPO для этого. Но большинство групповых политик просто изменяют реестр.

Вы можете создать шаблон adm, который изменил настройки, или вы можете просто написать скрипт для настройки параметров.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\PowerShell

Если вы не уверены, как вручную настроить параметры, просто настройте параметры в графическом интерфейсе журнала событий и настройте все остальные системы на то же самое. Вам может потребоваться перезагрузить систему, чтобы изменения вступили в силу.

Answer 3

Конфигурация компьютера -> Настройки Windows -> Настройки безопасности -> Журнал событий

Answer 4

Сейчас вам нужно использовать командлеты GPO SDM Software. Это единственный способ из PowerShell изменить параметры в объекте групповой политики. Но я не знаю, как внести изменения в «любые журналы, которые могут быть добавлены» - я не думаю, что вы можете изменить системные настройки по умолчанию (хотя я могу ошибаться - я не так много сделал)