Home Configurazione delle dimensioni del registro del Visualizzatore eventi su Windows

Configurazione delle dimensioni del registro del Visualizzatore eventi su Windows

I registri del Visualizzatore eventi di Windows archiviano informazioni utili necessarie per l'analisi dello stato dei servizi e delle applicazioni in Windows, la risoluzione dei problemi e il controllo degli eventi di sicurezza. Per impostazione predefinita, le dimensioni dei registri del Visualizzatore eventi in Windows sono limitate e quando le dimensioni dei file vengono superate, i nuovi eventi iniziano a sovrascrivere quelli più vecchi. Se vengono inviati troppi eventi al Visualizzatore eventi, potrebbero essere registrate solo le ultime ore di eventi, il che potrebbe non essere sufficiente per un monitoraggio e un'analisi dei registri efficienti.

Per evitare che i vecchi eventi vengano sovrascritti e per garantire di avere sempre eventi per un periodo sufficientemente lungo, è possibile aumentare la dimensione massima dei registri del Visualizzatore eventi.

Saperne di più:Come cancellare tutti i registri eventi nel Visualizzatore eventi

Contenuto:

Come impostare la dimensione del registro eventi di Windows con PowerShell?

I file di registro eventi di Windows sono archiviati nel file%SystemRoot%System32WinevtLogsdirectory come.EVTXfile. Tieni presente che esiste un file separato per ciascun registro. Quindi puoi gestire la dimensione massima solo del registro di Windows di cui hai bisogno e lasciare le impostazioni predefinite per gli altri.

Puoi utilizzare PowerShell per visualizzare i limiti correnti per tutti i registri del Visualizzatore eventi abilitati su Windows:

Get-Eventlog -List

È possibile utilizzare il cmdlet Get-WinEvent per ottenere la dimensione di un file di registro eventi specifico. Ad esempio, ecco come ottenere la dimensione corrente e massima del file di registro di sicurezza:

Get-WinEvent -ListLog Security| Select MaximumSizeInBytes, FileSize, IsLogFull, OldestRecordNumber, IsEnabled, LogMode

Puoi utilizzare PowerShell per ottenere la dimensione totale della cartella che contiene i file di registro eventi:
"{0:N2} MB" -f ((gci c:windowsSystem32WinevtLogs| measure Length -s).sum / 1Mb)

Per aumentare la dimensione massima del log, è possibile utilizzare il filewevtutulstrumento da riga di comando (la nuova dimensione è impostata in byte):

wevtutil sl "Application" /ms:200000000

Oppure puoi utilizzare PowerShell per impostare una nuova dimensione massima del file di registro dell'applicazione:

Limit-Eventlog -Logname Application -MaximumSize 200MB -OverflowAction OverwriteOlder

Regolazione della dimensione del file di registro eventi dalla console del Visualizzatore eventi

Il modo più semplice per aumentare la dimensione massima del registro è direttamente dalla console del Visualizzatore eventi.

  1. Aprire lo snap-in MMC Visualizzatore eventi (eventvwr.msc);
  2. Selezionare il registro richiesto (ad esempio Sicurezza) e aprire le sue proprietà;
  3. Imposta un nuovo limite sottoDimensione massima del registro (KB)e salvare le modifiche;
  4. È inoltre possibile selezionare l'azione da intraprendere quando viene raggiunta la dimensione massima del file di registro:Sovrascrivi gli eventi secondo necessità (prima gli eventi più vecchi). Questa modalità viene utilizzata per impostazione predefinita e implica che i nuovi eventi sovrascrivano semplicemente gli eventi più vecchi.
    Archivia il registro quando è pieno, non sovrascrivere gli eventi– il registro eventi corrente è archiviato nelSystem32WinevtLogscartella quando è piena e i nuovi eventi vengono scritti in un nuovo file EVTX. È possibile accedere ai file degli eventi archiviati tramite il menu Apri registro salvato nel Visualizzatore eventi.
    Non sovrascrivere gli eventi (Cancella registro manualmente)– abilita questa opzione per proteggere i tuoi vecchi eventi dalla sovrascrittura. Tieni presente che il registro deve essere cancellato manualmente per scrivere nuovi eventi.

Aumentare la dimensione dei file di registro eventi di Windows utilizzando l'oggetto Criteri di gruppo

È possibile utilizzare Criteri di gruppo per gestire a livello centrale la dimensione dei file di registro eventi su computer o server in un dominio Active Directory.

  1. Eseguire lo snap-in Gestione Criteri di gruppo (gpmc.msc), crea un nuovo oggetto Criteri di gruppo e collegalo alle unità organizzative con i computer o i server per i quali desideri modificare le impostazioni del Visualizzatore eventi (puoi anche collegare l'oggetto Criteri di gruppo alla radice del dominio);
  2. Passare alla sezione GPO seguenteConfigurazione del computer->Politiche->Modelli amministrativi->Componente Windowsnts ->Servizio registro eventi. Questa directory contiene i nodi per la gestione dei log di Windows di base:
    Application
Security
Setup
System
  3. Per aumentare la dimensione massima del registro, selezionare l'opzioneSpecificare la dimensione massima del file di registro (KB)opzione, abilitarla e impostare la dimensione richiesta;
  4. Aggiorna le impostazioni dei Criteri di gruppo sui client e controlla che il nuovo file di registro massimo sia ora specificato nelle proprietà del registro e che non sia possibile modificarlo. Se provi a impostare una dimensione diversa, verrà visualizzato un errore:
    Event Viewer
The Maximum Log Size specified is not valid. It is too large or too small. The Maximum Log Size will be set to the following: 61440 KB

L'aumento della dimensione massima del registro di sicurezza sui controller di dominio Active Directory consente di:

  • Memorizza la cronologia degli accessi al dominio di un utente e visualizza i tentativi di accesso riusciti/non riusciti a un host Windows specifico;
  • Trovare l'origine del blocco dell'account utente in AD;
  • Identificare chi ha creato un utente in AD, reimpostare la password dell'utente o modificare l'appartenenza a un gruppo di sicurezza specifico.

La sezione GPO descritta sopra non contiene opzioni per altri registri eventi daRegistri applicazioni e servizi -> Microsoft. Se è necessario aumentare la dimensione di un altro registro eventi (diverso da quello standard), è possibile farlo tramite il registro. Le impostazioni del registro eventi di Windows sono archiviate in HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventLog<log_name> chiave di registro. La dimensione massima del file di registro è determinata daDimensione massimaparametro (tipo REG_DWORD). È possibile configurare il valore del Registro di sistema del parametro MaxSize per un registro eventi personalizzato nei computer del dominio utilizzando le Preferenze di Criteri di gruppo.

Scopri come utilizzare l'oggetto Criteri di gruppo per configurare le chiavi e le impostazioni del Registro di sistema.

In questo esempio, aumenteremo la dimensione del fileServizio di elenchiaccedere ai controller di dominio. Le impostazioni di questo registro sono archiviate nella seguente chiave del Registro di sistema HKLMSYSTEMCurrentControlSetServicesEventLogDirectory Service.

  1. Apri GPO e vai aConfigurazione del computer->Preferenze->Impostazioni di Windows->Registro;
  2. SelezionareNuovo->Elemento del registro;
  3. Crea un nuovo parametro di registro con le seguenti impostazioni:
    Hive: HKEY_LOCAL_MACHINE
Key path: SYSTEMCurrentControlSetServicesEventLogDirectory Service
Value name: MaxSize
Value type: REG_DWORD
Value data: 52428800 (the maximum file size is given in bytes. In our example it is 50 MB.)

Ad esempio, se desideri archiviare i log con la cronologia delle connessioni Desktop remoto a un host RDS per un lungo periodo, devi aumentare la dimensione del fileTerminal-Services-RemoteConnectionManagertronco d'albero.

Aumentando la dimensione dei registri eventi di Windows, puoi ottenere più informazioni per un periodo più lungo. Ad esempio, puoi utilizzare i registri eventi per ottenere la cronologia di riavvio di Windows, scoprire chi ha eliminato un file da una cartella di rete condivisa o ha modificato le autorizzazioni NTFS.

Related Posts

Come gestire le chiavi di crittografia del dispositivo Windows e l'archiviazione OneDrive

Come gestire le chiavi di crittografia del dispositivo Windows e l'archiviazione OneDrive

2025-04-25
Come inserire il numero di pagina in Word 2019/2016 da una pagina specifica

Come inserire il numero di pagina in Word 2019/2016 da una pagina specifica

2025-05-07
Dell Equallogic non inizia dopo un'interruzione di corrente: come correggere e ripristinare i dati

Dell Equallogic non inizia dopo un'interruzione di corrente: come correggere e ripristinare i dati

2025-04-30
Come proteggere il telefono dall'essere hackerato [senza nemmeno toccarlo]

Come proteggere il telefono dall'essere hackerato [senza nemmeno toccarlo]

2025-03-19
iOS 15: come riparare iPhone bloccato alla preparazione dell'aggiornamento

iOS 15: come riparare iPhone bloccato alla preparazione dell'aggiornamento

2022-05-30
Come risolvere il problema dello scorrimento a due dita non funzionante su Windows 11

Come risolvere il problema dello scorrimento a due dita non funzionante su Windows 11

2024-08-07
Correzione: problemi di crash o mancato funzionamento dell'app Zeus (9 modi)

Correzione: problemi di crash o mancato funzionamento dell'app Zeus (9 modi)

2023-12-29
Test di perdita dei pacchetti

Test di perdita dei pacchetti

2024-12-08
Test di perdita dei pacchetti

Test di perdita dei pacchetti

2025-03-07
Test di aggiornamento della frequenza

Test di aggiornamento della frequenza

2025-03-05
Gestisci M365 con Lokka e Claude AI

Gestisci M365 con Lokka e Claude AI

2025-03-25
Come rimuovere Mosyle MDM dall'iPad [3 modi]

Come rimuovere Mosyle MDM dall'iPad [3 modi]

2024-09-16
Stampa desktop remoto con reindirizzamento di stampa facile

Stampa desktop remoto con reindirizzamento di stampa facile

2025-06-02
Come abilitare nuove funzionalità basate sull'intelligenza artificiale in Google Chrome

Come abilitare nuove funzionalità basate sull'intelligenza artificiale in Google Chrome

2024-11-12
13 modi per risolvere il problema del componente aggiuntivo New Teams mancante da Outlook per gli utenti Windows

13 modi per risolvere il problema del componente aggiuntivo New Teams mancante da Outlook per gli utenti Windows

2023-12-18