在 Windows 上配置事件查看器日志大小

Windows 事件查看器日志存储分析 Windows 中的服务和应用程序的状态、排除错误和审核安全事件时所需的有用信息。默认情况下，Windows 中的事件查看器日志的大小是有限的，当超出文件大小时，新事件开始覆盖旧事件。如果发送到事件查看器的事件过多，则可能仅记录最后几个小时的事件，这可能不足以进行有效的监控和日志分析。

为了防止旧事件被覆盖，并确保事件在足够长的时间内始终存在，您可以增加事件查看器日志的最大大小。

如何使用 PowerShell 设置 Windows 事件日志大小？

Windows 事件日志文件存储在

%SystemRoot%\System32\Winevt\Logs\

目录为 .EVTX 文件。请注意，每个日志都有一个单独的文件。因此，您可以仅管理您需要的 Windows 日志的最大大小，并为其他日志保留默认设置。

您可以使用 PowerShell 查看 Windows 上所有启用的事件查看器日志的当前限制：

Get-Eventlog -List

您可以使用 Get-WinEvent cmdlet 获取特定事件日志文件的大小。例如，以下是获取安全日志文件的当前大小和最大大小的方法：

Get-WinEvent -ListLog Security| Select MaximumSizeInBytes, FileSize, IsLogFull, OldestRecordNumber, IsEnabled, LogMode

您可以使用 PowerShell 获取包含事件日志文件的文件夹的总大小：

"{0:N2} MB" -f ((gci c:\windows\System32\Winevt\Logs\| measure Length -s).sum / 1Mb)

要增加日志的最大大小，您可以使用

wevtutul

命令行工具（新大小以 KB 为单位设置）：

wevtutil sl "Application" /ms:200000

或者您可以使用 PowerShell 设置新的最大应用程序日志文件大小：

Limit-Eventlog -Logname Application -MaximumSize 200MB -OverflowAction OverwriteOlder

从事件查看器控制台调整事件日志文件大小

增加最大日志大小的最简单方法是直接从事件查看器控制台。

1. 打开事件查看器 MMC 管理单元 (

   eventvwr.msc

   ）；

2. 选择所需的日志（例如Security）并打开其属性；

3. 在最大日志大小（KB）下设置新限制并保存更改；

   

4. 您还可以选择达到最大日志文件大小时要采取的操作：

   根据需要覆盖事件（首先是最旧的事件） - 默认情况下使用此模式，意味着新事件只会覆盖旧事件。
   日志满时存档，不覆盖事件 - 当前事件日志存档在

   \System32\Winevt\Logs\

   文件夹已满，新事件将写入新的 EVTX 文件。您可以通过事件查看器中的“打开已保存的日志”菜单访问存档的事件文件。
   不要覆盖事件（手动清除日志） - 启用此选项可防止旧事件被覆盖。请注意，必须手动清除日志才能写入新事件。

使用 GPO 增加 Windows 事件日志文件的大小

您可以使用组策略集中管理 Active Directory 域中的计算机或服务器上的事件日志文件的大小。

1. 运行组策略管理管理单元 (

   gpmc.msc

   ），创建一个新的 GPO，并将其链接到包含您要更改其事件查看器设置的计算机或服务器的组织单位（您也可以将 GPO 链接到域根）；

2. 导航到以下 GPO 部分计算机配置 -> 策略 -> 管理模板 -> Windows 组件nts -> 事件日志服务。该目录包含用于管理基本 Windows 日志的节点：

   Application
   Security
   Setup
   System

3. 要增加日志的最大大小，请选择指定最大日志文件大小 (KB) 选项，启用它，然后设置所需的大小

   

   ;

4. 更新客户端上的组策略设置，并检查日志属性中现在是否指定了新的最大日志文件数，并且您无法更改它。如果您尝试设置不同的大小，则会出现错误：
   

   

   Event Viewer
   The Maximum Log Size specified is not valid. It is too large or too small. The Maximum Log Size will be set to the following: 61440 KB

增加 Active Directory 域控制器上的最大安全日志大小可以让您：

• 存储用户的域登录历史记录并查看特定 Windows 主机的成功/失败登录尝试；

• 查找AD中用户账户被锁定的根源；

• 识别谁在 AD 中创建了用户、重置用户的密码或更改特定安全组的成员身份。

请注意，上述 GPO 部分不包含来自应用程序和服务日志 -> Microsoft 的其他事件日志的选项。如果需要增加另一个事件日志（标准事件日志除外）的大小，可以通过注册表来完成。 Windows 事件日志设置存储在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ 注册表项中。最大日志文件大小由MaxSize参数（REG_DWORD类型）确定。您可以使用组策略首选项配置域计算机上自定义事件日志的 MaxSize 参数的注册表值。

了解如何使用 GPO 配置注册表项和设置。

在此示例中，我们将增加域控制器上目录服务日志的大小。此日志的设置存储在以下注册表项 HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Directory Service 中。

1. 打开 GPO 并转到计算机配置 -> 首选项 -> Windows 设置 -> 注册表；

2. 选择新建 -> 注册表项；

3. 使用以下设置创建新的注册表参数：

   Hive: HKEY_LOCAL_MACHINE
   Key path: SYSTEM\CurrentControlSet\Services\EventLog\Directory Service
   Value name: MaxSize
   Value type: REG_DWORD
   Value data: 52428800 (the maximum file size is given in bytes. In our example it is 50 MB.)

   

• 检查最大日志大小是否为更新 DC 上的 GPO 后的值。

  

例如，如果您想要长期存储包含与 RDS 主机的远程桌面连接历史记录的日志，则需要增加 Terminal-Services-RemoteConnectionManager 日志的大小。

通过增加 Windows 事件日志的大小，您可以在更长的时间内获取更多信息。例如，您可以使用事件日志来获取 Windows 重新启动历史记录，找出谁从共享网络文件夹中删除了文件，或者谁更改了 NTFS 权限。