В журналах событий Windows хранится полезная информация, которая нужна при анализе состояния служб и приложений в Windows, отладки ошибок и аварийный ситуаций, аудите различных событий безопасности. По умолчанию для журналов Event Viewer в Windows заданы максимальные размеры, при достижении которых новые события начинают перезаписывать более старые. Если на вход Event Viewer попадает слишком большое количество событий, может случится, что в журнал помещаются события лишь за последние несколько часов, что может быть не достаточно.
Чтобы предотвратить перезапись старых событий и всегда иметь под рукой события за достаточно большой промежуток времени, вы можете увеличить максимальный размер журналов Event Viewer.
Содержание:
- Получить информацию о журналах событий Windows с помощью PowerShell
- Изменить размер журнала событий из консоли Event Viewer
- Увеличить размер журнала событий Windows через GPO
Получить информацию о журналах событий Windows с помощью PowerShell
Файлы журналы событий Windows хранятся в каталог
%SystemRoot%\System32\Winevt\Logs\
в виде файлов с расширением .EVTX. Обратите внимание, что для каждого журнала используется собственный файл. Соответственно, вы можете управлять размерами только того лога Windows, который вам нужен и оставить остальные значения по-умолчанию.
Текущие лимиты на все включенные журналы событий в Windows можно вывести с помощью PowerShell:
Get-Eventlog -List
Вы можно вывести размер определенного лога с помощью командлета Get-WinEvent. Например, получим текущий и максимальный размер журнала Security:
Get-WinEvent -ListLog Security| Select MaximumSizeInBytes, FileSize, IsLogFull, OldestRecordNumber, IsEnabled, LogMode
Суммарный размер паки с файлами журналов событий можно получить с помощью PowerShell:
«{0:N2} MB» -f ((gci c:\windows\System32\Winevt\Logs\| measure Length -s).sum / 1Mb)
Чтобы увеличить максимальный размер лога, можно использовать утилиту wevtutul (новый размер задается в Кб):
wevtutil sl "Application" /ms:200000
Или с помощью PowerShell:
Limit-Eventlog -Logname Application -MaximumSize 200MB -OverflowAction OverwriteOlder
Изменить размер журнала событий из консоли Event Viewer
Проще всего увеличить максимальный размер журнала прямо из консоли Event Viewer.
- Откройте
eventvwr.msc
; - Найдите в консоли свойства нужного журнала и откройте его свойства (например, Security);
- Задайте ограничение в разделе Maximum log size (KB) и сохраните изменения;
- Здесь же можно изменить поведение при достижение максимального размера:
Owerwrite events as needed (oldest events first) – этот режим исопльзуется по умолчанию. Новые события просто перезаписывают более старые.
Archive the log when full, do not owerwrite events – текущий журнал событий при заполнении архивируется в папке \System32\Winevt\Logs\ и новые события записываются в новый evtx файл. Архивные файлы событий можно открыть через меню Open Saved Log в Event Viewer.
Do not owerwrite events (Clear log manually) – события никогда не перезатираются. Для записи новых событий нужно очистить журнал.
Увеличить размер журнала событий Windows через GPO
Чтобы централизованно управлять размерами журналов событий на компьютерах или серверах в домене Active Directory, можно использовать групповые политики.
- Запустите консоль Group Policy Management (
gpmc.msc
), создайте новую GPO и назначьте на OU с компьютерами или серверами, для которых вы хотите изменить настройки Event Viewer (или назначьте GPO на корень домена); - Перейдите в раздел GPO Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Event Log Service. Как вы видите, в этом ветке есть подразделы для управления базовыми журналами Windows:
Application Security Setup System
- Чтобы увеличить максимальный размер любого из журналов, откройте параметр Specify the maximum log file size (KB), включите его и задайте нужный вам размер;
- Обновите настройки политики на клиентах и проверьте, что в свойствах журнала теперь указан новый размер, который вы не можете изменить. При попытке задать другой размер появится ошибка:
Event Viewer
The Maximum Log Size specified is not valid. It is too large or too small. The Maximum Log Size will be set to the following: 61440 KB
Обратите внимание, что в описанном выше разделе GPO отсутствуют настройки для других журналов из раздела Applications and Services Logs -> Microsoft.Если вам нужно увеличить размер любого другого журнала событий (кроме стандартного), это можно сделать через реестр. Настройки журналов событий Windows хранятся в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\<log_name>. Размер журнала задается с помощью параметра MaxSize (тип REG_DWORD). Вы можете распространить нужное вам значение параметра реестра MaxSize на компьютеры домена с помощью Group Policy Preferences.
Подробнее о настройке ключей и параметров реестра через GPO здесь.
В этом примере мы увеличим размер журнала Directory Service на контроллерах домена. Настройки этого лога хранятся в ветке HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Directory Service.
- Откройте GPO и перейдите в раздел Computer Configuration -> Preferences -> Windows Settings -> Registry;
- Выберите New -> Registry Item;
- Создайте новый параметр со следующими настройками:
Hive: HKEY_LOCAL_MACHINE Key path: SYSTEM\CurrentControlSet\Services\EventLog\Directory Service Value name: MaxSize Value type: REG_DWORD Value data: 52428800 (значение задается в байтах. В нашем примере это 50 Мб)
- Проверьте, что после обновления GPO на DC увеличится максимальный размер журнала.
Например, если вам нужно хранить историю RDP подключений к RDS хосту за продолжительное время, нужно увеличить размер лога Terminal-Services-RemoteConnectionManager.
За счет увеличения размеров журналов событий Windows вы можете получить различную информацию за более длительный промежуток времени. Например, из журналов событий можно получить историю перезагрузок Windows, понять кто удалил файл в сетевой папке или кто изменил NTFS права доступа.
GPO — Настройка размера и удержания журнала событий
GPO — Настройка размера и удержания журнала событий
Хотите узнать, как использовать политику группы для настройки размера журнала событий и времени хранения? В этом учебнике мы покажем вам, как настроить время хранения и размер журналов просмотра событий Windows.
• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 10
• Windows 7
Список оборудования
В следующем разделе представлен список оборудования, используемого для создания этого учебника.
Как Amazon Associate, я зарабатываю от квалификационных покупок.
Windows Связанные Учебник:
На этой странице мы предлагаем быстрый доступ к списку учебников, связанных с Windows.
Учебник GPO — Настройка размера и удержания журнала событий
На контроллере домена откройте инструмент управления групповой политикой.
Создание новой групповой политики.
Введите имя для новой политики группы.
В нашем примере, новый GPO был назван: MY-GPO.
На экране управления групповой политикой расширьте папку под названием «Объекты групповой политики».
Нажмите правой кнопкой мыши на новый объект групповой политики и выберите опцию редактирования.
На экране редактора групповой политики расширьте папку конфигурации компьютера и найдите следующий элемент.
Доступ к папке под названием Служба журнала событий.
Доступ к одной из следующих папок: приложение, безопасность, система или настройка.
Включите названный элемент: Укажите максимальный размер файла журнала.
Настройте максимальный размер журнала между 1024 и 4194240.
Это от 1 МБ до 4 ГБ.
Отключите элемент, названный: Поведение журнала событий Управления, когда файл журнала достигает своего максимального размера.
Новые события переназвонят старые события, когда файл журнала достигнет своего максимального размера.
Это поведение по умолчанию на Windows.
Чтобы сохранить конфигурацию групповой политики, необходимо закрыть редактор групповой политики.
Поздравляю! Вы закончили создание GPO.
Учебник GPO — журнал событий Windows
На экране управления политикой Группы необходимо правильно нажать на желаемую Организационную группу и выбрать возможность связать существующий GPO.
В нашем примере мы собираемся связать групповую политику под названием MY-GPO с корнем домена.
После применения GPO вам нужно подождать 10 или 20 минут.
В течение этого времени GPO будет реплицироваться на другие контроллеры доменов.
На удаленном компьютере пройдите проверку размера журнала и конфигурации его удержания.
В нашем примере мы настроили размер файла журнала Windows и его удержание.
VirtualCoin CISSP, PMP, CCNP, MCSE, LPIC22021-04-01T10:21:01-03:00
Related Posts
Page load link
Ok
Windows Event Viewer Logs store useful information that is needed when analyzing the status of services and applications in Windows, troubleshooting errors, and auditing security events. By default, the sizes of the Event Viewer logs in Windows are limited and when the file sizes are exceeded, new events begin to overwrite older ones. If too many events are sent to the Event Viewer, only the last few hours of events may be logged, which may not be sufficient for efficient monitoring and log analysis.
To prevent old events from being overwritten, and to ensure that you always have events for a long enough period, you can increase the maximum size of Event Viewer logs.
Contents:
- How to Set Windows Event Log Size with PowerShell?
- Adjusting the Event Log File Size from the Event Viewer Console
- Increase the Size of Windows Event Log Files Using GPO
How to Set Windows Event Log Size with PowerShell?
Windows event log files are stored in the %SystemRoot%\System32\Winevt\Logs\ directory as .EVTX files. Note that there is a separate file for each log. So you can manage the maximum size of only the Windows log you need and leave the default settings for others.
You can use PowerShell to view the current limits for all enabled Event Viewer Logs on Windows:
Get-Eventlog -List
You can use the Get-WinEvent cmdlet to get the size of a specific event log file. For example, here’s how you can get the current and maximum size of the Security log file:
Get-WinEvent -ListLog Security| Select MaximumSizeInBytes, FileSize, IsLogFull, OldestRecordNumber, IsEnabled, LogMode
To increase the maximum size of the log, you can use the wevtutul command line tool (the new size is set in bytes):
wevtutil sl "Application" /ms:200000000
Or you can use PowerShell to set a new maximum Application log file size:
Limit-Eventlog -Logname Application -MaximumSize 200MB -OverflowAction OverwriteOlder
Adjusting the Event Log File Size from the Event Viewer Console
The easiest way to increase the maximum log size is directly from the Event Viewer console.
- Open the Event Viewer MMC snap-in (
eventvwr.msc); - Select the required log (for example, Security) and open its properties;
- Set a new limit under Maximum log size (KB) and save the changes;
- You can also select the action to be taken when the maximum log file size is reached: Overwrite events as needed (oldest events first). This mode is used by default and implies that new events simply overwrite older events.
Archive the log when full, do not overwrite events – the current event log is archived in the\System32\Winevt\Logs\folder when full, and new events are written to a new EVTX file. You can access the archived event files through the Open Saved Log menu in the Event Viewer.
Do not overwrite events (Clear log manually) – enable this option to protect your old events from being overwritten. Note that the log must be cleared manually to write new events.
Increase the Size of Windows Event Log Files Using GPO
You can use Group Policies to centrally manage the size of event log files on computers or servers in an Active Directory domain.
- Run the Group Policy Management snap-in (
gpmc.msc), create a new GPO, and link it to the Organizational Units with the computers or servers you want to change the Event Viewer settings for (you may also link the GPO to the domain root); - Navigate to the following GPO section Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Event Log Service. This directory contains nodes for managing the basic Windows logs:
Application Security Setup System
- To increase the maximum size of the log, select the Specify the maximum log file size (KB) option, enable it, and set the required size
;
- Update the Group Policy settings on the clients and check that the new maximum log file is now specified in the log properties and that you cannot change it. If you try to set a different size, an error will appear:
Event Viewer The Maximum Log Size specified is not valid. It is too large or too small. The Maximum Log Size will be set to the following: 61440 KB
The GPO section described above doesn’t contain options for other Event Logs from Applications and Services Logs -> Microsoft. If you need to increase the size of another event log (other than the standard one), you can do it through the registry. Windows event log settings are stored in the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\<log_name> registry key. The maximum log file size is determined by the MaxSize parameter (REG_DWORD type). You can configure the registry value of the MaxSize parameter for a custom event log on domain computers by using Group Policy Preferences.
In this example, we are going to increase the size of the Directory Service log on the domain controllers. This log’s settings are stored in the following registry key HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Directory Service.
- Open GPO and go to Computer Configuration -> Preferences -> Windows Settings -> Registry;
- Select New -> Registry Item;
- Create a new registry parameter with the following settings:
Hive: HKEY_LOCAL_MACHINE Key path: SYSTEM\CurrentControlSet\Services\EventLog\Directory Service Value name: MaxSize Value type: REG_DWORD Value data: 52428800 (the maximum file size is given in bytes. In our example it is 50 MB.)
- Check that the maximum log size is after updating the GPO on the DCs.
For example, if you want to store logs with a history of Remote Desktop connections to an RDS host for a long period, you need to increase the size of the Terminal-Services-RemoteConnectionManager log.
By increasing the size of Windows event logs, you can get more information over a longer time. For example, you can use event logs to get the Windows reboot history, find out who deleted a file from a shared network folder, or changed NTFS permissions.
Настройки журнала аудита (для компьютера)
Чтобы определить максимальный размер журнала аудита и действия Windows в случае его заполнения, выберите команду Настройки из контекстного меню, доступного по нажатию правой кнопки мыши на элементе Просмотрщик журнала аудита, или нажмите кнопку на панели инструментов.
Параметр Максимальный размер лога задает максимально допустимый размер журнала (в килобайтах). Файл журнала создается и используется только службой журналов событий Windows. Файл журнала находится в папке %SystemRoot%\system32\config и называется DeviceLo.evt.
Чтобы определить действия Windows в случае заполнения журнала аудита, выберите одну из этих опций:
•Переписывать события по необходимости (сначала старые события) — ОС перезаписывает старые записи новыми, когда превышается размер, заданный в параметре Максимальный размер лога.
•Архивировать журнал при заполнении, не перезаписывать события — ОС архивирует журнал, когда превышается размер, заданный в параметре Максимальный размер лога. Старые записи отправляются в архив, так что они не перезаписываются новыми.
•Не затирать события (очистка журнала вручную) — Система не перезаписывает записи, когда превышается размер, заданный в параметре Максимальный размер лога, и в таком случае вам необходимо очищать журнал вручную.
Если сервис DeviceLock работает на операционной системе Windows Server 2003, Windows XP или более ранней версии операционной системы Windows, то вместо опции архивирования журнала появляется следующая опция:
•Затирать события старше чем <число> дней — ОС перезаписывает только те записи, которые старше заданного количества дней.
Примечание: Когда журнал аудита заполнен и в нем нет записей, которые можно было бы удалить, сервис DeviceLock не может писать новые записи в такой журнал.
Чтобы сбросить текущие настройки, нажмите кнопку Восстановить умолчания. Настройки по умолчанию выглядят следующим образом:
•Для параметра Максимальный размер лога установлено значение 20480 килобайт.
В случае Windows Server 2003, Windows XP или более ранней версии операционной системы Windows, установлено значение 512 килобайт.
•Выбрана опция Архивировать журнал при заполнении, не перезаписывать события.
В случае Windows Server 2003, Windows XP или более ранней версии операционной системы Windows, выбрана опция Затирать события старше чем <число> дней и для нее установлено значение 7 дней.
Примечание: В консолях DeviceLock Service Settings Editor и DeviceLock Group Policy Manager вместо опции Архивировать журнал при заполнении, не перезаписывать события всегда отображается опция Затирать события старше чем <число> дней, независимо от версии операционной системы, и по умолчанию для параметра Максимальный размер лога установлено значение 512 килобайт, выбрана опция Затирать события старше чем <число> дней, и для нее установлено значение 7 дней.
В этой статье я опишу инструмент с помощью которого осуществляется просмотр событий, или по другому говоря логов, в системе Windows.
Открытие оснастки «Просмотр событий»
Для просмотра логов в Windows, вы можете открыть оснастку «Просмотр событий». Она находится в меню «Пуск» или может быть запущена с помощью команды eventvwr в командной строке.
Сводная информация
После открытия оснастки, если вы нажмёте слева на пункт «Просмотр событий (Локальный)», то увидите сводную информацию.
Здесь вы можете посмотреть:
- общее количество событий по уровням важности;
- недавно просмотренные узлы, то есть какие журналы вы недавно просматривали;
- сводка журнала, то есть какие журналы включены а какие выключены.
После открытия оснастки и разворачивания пункта «Журналы Windows» вы увидите следующие журналы:
- Приложение. Установленные в системе приложения будут писать свои логи в этот журнал.
- Безопасность. Сюда будут попадать события относящиеся ко входам в систему, привилегиям, запросам прав и подобное.
- Установка. Этот журнал будет содержать логи, созданные в процессе установки или изменения программ.
- Система. Это журнал операционной системы, и события операционной системы будут логироваться в нём.
- Перенаправленные события. События, передаваемые другими компьютерами.
Когда вы выберете определенный журнал (1) для просмотра, вы увидите список событий (2). Если вы выделите определенное событие (3), то снизу вы увидите описание этого события (4).
Описание определённого события можно просматривать в двух вкладках:
- Вкладка «Общее». Описание события и некоторая информация о нём.
- Вкладка «Подробности». Больше информации о событии, например какой процесс произвёл это событие. Здесь можно смотреть событие в понятном для человека представлении, или в формате XML.
Существует несколько уровней событий:
- Информация. Было выполнено какое-то успешное действие.
- Предупреждение. Произошло событие, которое может вызвать проблемы.
- Ошибка. Возникла какая-то проблема.
- Критическое. Возникла серьезная проблема. Скорее всего такая проблема приведёт к перезагрузке компьютера.
Действия над журналами
С журналом можно выполнять различные действия. Посмотреть их можно справа в оснастке «Просмотр событий».
Ниже разберём некоторые действия.
Фильтр журнала
Мы можем отфильтровать журнал по разным параметрам. Для этого существует действие «Фильтр текущего журнала».
Здесь можно:
- выбрать период, за который нам нужно просмотреть журнал;
- установить уровни событий;
- указать источники событий;
- определить коды событий.
Свойство журнала
Здесь мы можем посмотреть, в каком файле хранится журнал, его текущий и максимальный размеры. Также мы можем изменить максимальный размер файла или очистить журнал.
Сохранить или открыть журнал
Можем сохранить журнал в формате журнала Windows (.evtx) или в других форматах (.xml, .txt, .csv). Для этого нужно нажать «Сохранить все события как».
Затем мы сможем открыть сохранённый журнал в любом из этих форматах. Для этого нужно нажать «Открыть сохранённый журнал».
Создать настраиваемое представление
Можем задать произвольный фильтр по разным журналам, и все события будут попадать в Настраиваемые представления. Для этого нажимаем «Создать настраиваемое представление».
Затем вы можете сохранить настраиваемое представление нажав «Экспортировать настраиваемое представление». Оно сохраниться в формате .xml. И в будущем вы можете «Импортировать настраиваемое представление». Это удобно проделать на одном компьютере, чтобы в будущем пользоваться на других.
Журналы приложений и служб
Существует также категория Журналы приложений и служб, которая содержит журналы отдельных приложений или служб.
Мне очень часто приходится здесь смотреть логи служб удалённых рабочих столов. Я использую следующие фильтры для настраиваемых представлений:
- Успешные подключения. Журнал: Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational. Код события 1149.
- Неудачные попытки входа. Журнал: Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Работает. Уровень события: Предупреждение.
- Подключения и отключения сессий. Журнал: Microsoft-Windows-TerminalServices-LocalSessionManager/Operational.
У клиента RDP можно смотреть следующие журналы:
- Процесс подключения RDP. Microsoft-Windows-TerminalServices-RDPClient/Operational
В журнале приложений и служб также будут храниться журналы из PowerShell и других командных строк.
После прочтения статьи у вас должны появиться навыки работы с оснасткой «Просмотр событий» в операционной системе Windows.
По теме просмотра событий в Windows я также писал статью: Узнаём причину перезагрузки Windows.
Другие мои статьи по операционной системе Windows вы можете найти здесь.
Если понравилась статья, подпишись на мой канал в VK или Telegram.