Home Konfigurace velikosti protokolu Prohlížeče událostí v systému Windows

Konfigurace velikosti protokolu Prohlížeče událostí v systému Windows

Protokoly Prohlížeče událostí systému Windows ukládají užitečné informace, které jsou potřeba při analýze stavu služeb a aplikací v systému Windows, odstraňování chyb a auditování událostí zabezpečení. Ve výchozím nastavení jsou velikosti protokolů Prohlížeče událostí ve Windows omezené a při překročení velikosti souborů začnou nové události přepisovat starší. Pokud je do Prohlížeče událostí odesláno příliš mnoho událostí, může být zaznamenáno pouze několik posledních hodin událostí, což nemusí být dostatečné pro efektivní monitorování a analýzu protokolů.

Chcete-li zabránit přepsání starých událostí a zajistit, že události budete mít vždy dostatečně dlouhou dobu, můžete zvětšit maximální velikost protokolů Prohlížeče událostí.

Obsah:

Jak nastavit velikost protokolu událostí Windows pomocí PowerShell?

Soubory protokolu událostí systému Windows jsou uloženy v%SystemRoot%System32WinevtLogsadresář jako.EVTXsoubory. Všimněte si, že pro každý protokol existuje samostatný soubor. Můžete tedy spravovat maximální velikost pouze protokolu Windows, který potřebujete, a ponechat výchozí nastavení pro ostatní.

Pro zobrazení aktuálních limitů pro všechny povolené protokoly Prohlížeče událostí v systému Windows můžete použít PowerShell:

Další informace:Jak vymazat všechny protokoly událostí v prohlížeči událostí

Get-Eventlog -List

Chcete-li získat velikost konkrétního souboru protokolu událostí, můžete použít rutinu Get-WinEvent. Zde je například návod, jak můžete získat aktuální a maximální velikost souboru protokolu zabezpečení:

Get-WinEvent -ListLog Security| Select MaximumSizeInBytes, FileSize, IsLogFull, OldestRecordNumber, IsEnabled, LogMode

Pomocí PowerShellu můžete získat celkovou velikost složky, která obsahuje soubory protokolu událostí:
"{0:N2} MB" -f ((gci c:windowsSystem32WinevtLogs| measure Length -s).sum / 1Mb)

Chcete-li zvětšit maximální velikost protokolu, můžete použítwevtutulnástroj příkazového řádku (nová velikost je nastavena v bajtech):

wevtutil sl "Application" /ms:200000000

Nebo můžete použít PowerShell k nastavení nové maximální velikosti souboru protokolu aplikace:

Limit-Eventlog -Logname Application -MaximumSize 200MB -OverflowAction OverwriteOlder

Úprava velikosti souboru protokolu událostí z konzoly Prohlížeče událostí

Nejjednodušší způsob, jak zvýšit maximální velikost protokolu, je přímo z konzoly Prohlížeče událostí.

  1. Otevřete modul snap-in MMC Prohlížeč událostí (eventvwr.msc);
  2. Vyberte požadovaný protokol (například Zabezpečení) a otevřete jeho vlastnosti;
  3. Nastavte nový limit podMaximální velikost protokolu (kB)a uložit změny;
  4. Můžete také vybrat akci, která se provede, když je dosaženo maximální velikosti souboru protokolu:Přepisujte události podle potřeby (nejstarší události jako první). Tento režim se používá ve výchozím nastavení a znamená, že nové události jednoduše přepíší starší události.
    Archivujte protokol, když je plný, nepřepisujte události– aktuální protokol událostí je archivován vSystem32WinevtLogskdyž je plná, a nové události se zapisují do nového souboru EVTX. K archivovaným souborům událostí můžete přistupovat prostřednictvím nabídky Otevřít uložený protokol v prohlížeči událostí.
    Nepřepisovat události (vymazat protokol ručně)– povolte tuto možnost, abyste ochránili své staré události před přepsáním. Všimněte si, že pro zápis nových událostí je nutné protokol ručně vymazat.

Zvětšete velikost souborů protokolu událostí systému Windows pomocí GPO

Zásady skupiny můžete použít k centrální správě velikosti souborů protokolu událostí v počítačích nebo serverech v doméně Active Directory.

  1. Spusťte modul snap-in Správa zásad skupiny (gpmc.msc), vytvořte nový GPO a propojte jej s organizačními jednotkami s počítači nebo servery, pro které chcete změnit nastavení Prohlížeče událostí (můžete také propojit GPO s kořenem domény);
  2. Přejděte do následující sekce GPOKonfigurace počítače->Zásady->Šablony pro správu->Windows Components ->Služba protokolu událostí. Tento adresář obsahuje uzly pro správu základních protokolů Windows:
    Application
Security
Setup
System
  3. Chcete-li zvětšit maximální velikost protokolu, vyberte možnostZadejte maximální velikost souboru protokolu (kB)možnost, povolte ji a nastavte požadovanou velikost;
  4. Aktualizujte nastavení zásad skupiny na klientech a zkontrolujte, zda je nyní ve vlastnostech protokolu zadán nový maximální soubor protokolu a zda jej nelze změnit. Pokud se pokusíte nastavit jinou velikost, zobrazí se chyba:
    Event Viewer
The Maximum Log Size specified is not valid. It is too large or too small. The Maximum Log Size will be set to the following: 61440 KB

Zvětšení maximální velikosti protokolu zabezpečení na řadičích domény Active Directory vám umožní:

  • Uložení historie přihlášení uživatele do domény a zobrazení úspěšných/neúspěšných pokusů o přihlášení ke konkrétnímu hostiteli Windows;
  • Najděte zdroj uzamčení uživatelského účtu v AD;
  • Identifikujte, kdo vytvořil uživatele v AD, resetujte heslo uživatele nebo změňte členství v konkrétní bezpečnostní skupině.

Část GPO popsaná výše neobsahuje možnosti pro další protokoly událostí zProtokoly aplikací a služeb -> Microsoft. Pokud potřebujete zvětšit velikost jiného protokolu událostí (jiného než standardního), můžete to provést prostřednictvím registru. Nastavení protokolu událostí systému Windows jsou uložena v klíči registru HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventLog<log_name>. Maximální velikost souboru protokolu je určenaMaxSizeparametr (typ REG_DWORD). Hodnotu registru parametru MaxSize můžete nakonfigurovat pro vlastní protokol událostí v počítačích domény pomocí Předvoleb zásad skupiny.

Naučte se používat GPO ke konfiguraci klíčů registru a nastavení.

V tomto příkladu zvětšíme velikostAdresářová službapřihlaste se k řadičům domény. Nastavení tohoto protokolu jsou uložena v následujícím klíči registru HKLMSYSTEMCurrentControlSetServicesEventLogDirectory Service.

  1. Otevřete GPO a přejděte naKonfigurace počítače->Předvolby->Nastavení systému Windows->Registr;
  2. VybratNový->Položka registru;
  3. Vytvořte nový parametr registru s následujícím nastavením:
    Hive: HKEY_LOCAL_MACHINE
Key path: SYSTEMCurrentControlSetServicesEventLogDirectory Service
Value name: MaxSize
Value type: REG_DWORD
Value data: 52428800 (the maximum file size is given in bytes. In our example it is 50 MB.)

Pokud například chcete ukládat protokoly s historií připojení ke vzdálené ploše k hostiteli RDS po dlouhou dobu, musíte zvětšit velikostTerminal-Services-RemoteConnectionManagerlog.

Zvětšením velikosti protokolů událostí systému Windows můžete získat více informací za delší dobu. Pomocí protokolů událostí můžete například získat historii restartování systému Windows, zjistit, kdo odstranil soubor ze sdílené síťové složky nebo změnit oprávnění NTFS.

Related Posts

Jak odinstalovat stolní aplikace a aplikace Windows v systému Windows 10

Jak odinstalovat stolní aplikace a aplikace Windows v systému Windows 10

2025-04-30
Jak obejít blok VPN a zůstat nezjistitelný

Jak obejít blok VPN a zůstat nezjistitelný

2022-09-05
Jak nastavit IPAM na Windows Server: Průvodce krok za krokem

Jak nastavit IPAM na Windows Server: Průvodce krok za krokem

2025-04-25
Proč přeskočit aktualizace Windows 11 měsíců nemusí být tak riskantní, jak si myslíte

Proč přeskočit aktualizace Windows 11 měsíců nemusí být tak riskantní, jak si myslíte

2025-04-29
Jak odstranit staré ikony oznámení z hlavního panelu Windows 11

Jak odstranit staré ikony oznámení z hlavního panelu Windows 11

2025-03-30
3 způsoby, jak zálohovat WhatsApp z iPhone na Disk Google

3 způsoby, jak zálohovat WhatsApp z iPhone na Disk Google

2024-10-18
Jak nainstalovat RSAT na Windows 11

Jak nainstalovat RSAT na Windows 11

2025-08-01
Jak získat zdarma Microsoft Office 365 na celý život

Jak získat zdarma Microsoft Office 365 na celý život

2023-12-28
Jak sledovat Paramount Plus na Playstation 4 PS4/PS5

Jak sledovat Paramount Plus na Playstation 4 PS4/PS5

2023-12-18
Top 10 cloudových platforem IoT pro internet věcí (2025)

Top 10 cloudových platforem IoT pro internet věcí (2025)

2025-08-13
Spoofing iTools Pokemon Go pro iOS a Android? Kompletní průvodce

Spoofing iTools Pokemon Go pro iOS a Android? Kompletní průvodce

2024-09-23
7 nejlepších Minecraft serverů, které musíte vidět (2024)

7 nejlepších Minecraft serverů, které musíte vidět (2024)

2024-05-27
8 nejlepších bezplatných kalendářových aplikací pro Windows PC (2022)

8 nejlepších bezplatných kalendářových aplikací pro Windows PC (2022)

2022-01-13
Visual Basic 6.0 ke stažení pro Windows 7/8/10/11 (32/64-bit)

Visual Basic 6.0 ke stažení pro Windows 7/8/10/11 (32/64-bit)

2025-02-10
Nejnovější tipy a návody pro uživatele stolních počítačů a chytrých telefonů

Nejnovější tipy a návody pro uživatele stolních počítačů a chytrých telefonů

2024-11-12