Настройки Групповой политики для журналов событий
Если Вы выполняете 2008r2 и выигрываете 7 окончательных, у Вас действительно есть опция посмотреть на remotefx перенаправление USB..., чтобы перенаправить USB-устройства... или посмотреть на стороннее программное обеспечение как это.
No, you shouldn't set your logs like that, and both will apply. Your Event Logs will have a maximum size of ~1 GiB, and events will be over written after 30 days. In all likelihood, this means that your logs will never reach the max size, because they'll keep overwriting themselves every 30 days, well before they hit the max size. (Unless you have very detailed logging for everything, then you could conceivably fill up a GiB with logs in 30 days.)
Retention by days is really only useful if, as the explanation says, you archive your logs off every x days, because then your server Event Logs will only contain events that aren't in the archived copies. That you had to ask the question tells me you're very unlikely to be in such a situation.
Instead, you should [probably] set the log files' Retention method to Overwrite event as needed and leave the retain [type] log setting undefined. When they hit the maximum size, instead of preventing the system from starting up, they'll just overwrite the oldest events.
And, by the way, you should read those explanations and other documentation provided. More often than not, it's there and explicitly precisely to prevent you from shooting yourself in the foot for not knowing better.
Не обращайте абсолютно никакого внимания на парня, который рекомендовал оставлять ваши журналы «перезаписывать по мере необходимости». Это ужасный, ужасный совет. Парам, вы на правильном пути. Эти настройки в порядке. Указанный размер файла для журналов событий является приемлемым. 30-дневная политика хранения тоже подойдет, но она будет полностью зависеть от политики хранения вашей организации.
Они не понимают, что они дают ужасный совет, так это то, что параметр метода хранения не влияет на «активное» событие лог-файл. Это влияет только на «Архивный» журнал событий, который является сохраненной копией журнала событий. Как только журнал событий достигает установленной емкости, Windows делает копию журнала событий и маркирует ее «Архив», после чего активный файл журнала событий очищается. Политика хранения влияет только на архивные файлы журнала событий. Вам нужно будет обратить внимание на емкость вашего диска. В зависимости от того, сколько журналов генерирует ваша система, можно быстро заполнить диск, на котором расположены ваши журналы событий. Лучше всего выделить отдельный диск большой емкости и запустить задание резервного копирования ваших заархивированных событий на этот диск.
Перезапись журналов событий является серьезной проблемой безопасности.
Как бы уверенно и хорошо ни был написан ответ Джо... и мне очень хотелось ему верить, я думаю, что он ошибается. Я вернулся и внимательно перечитал объяснение этих пунктов GPO. Мне стало ясно, что "Журнал сохранения безопасности" и "Метод сохранения ...". Элементы GPO явно нацелены на EVENTS (отдельные элементы строки в журнале), а не на сами архивированные файлы журнала (которые создаются, когда вы выбираете "Архивировать журнал, когда он полон, не перезаписывать события" в свойствах журнала событий).
Если вы вручную (или программно) архивируете свои журналы по расписанию, но вам НЕ нужно переходить к журналу и очищать его вручную, то, конечно, вы хотите, чтобы он "начинал заново" после каждого архива/резервного копирования. Поэтому в разделе "Сохранить журнал безопасности" объяснение "определяет количество дней", в течение которых будут сохраняться события ..." и в разделе "Сохранить метод" "обернуть" журнал" говорится о событиях, а не об архивах
.