Изменить размер журнала windows

Обновлено: 04.07.2024

Управляет журналом изменений номеров последовательных обновлений (USN). Журнал изменений USN обеспечивает постоянный журнал всех изменений, внесенных в файлы на томе. По мере добавления, удаления и изменения файлов, каталогов и других объектов NTFS система NTFS вводит записи в журнал изменений USN, по одному для каждого тома на компьютере. В каждой записи указывается тип изменения и измененный объект. Новые записи добавляются в конец потока.

Синтаксис

Параметры

Параметр	Описание
креатежаурнал	Создает журнал изменений USN.
m = <maxsize>	Указывает максимальный размер (в байтах), выделяемый файловой системой NTFS для журнала изменений.
a = <allocationdelta>	Задает размер (в байтах) выделения памяти, который добавляется в конец и удаляется из начала журнала изменений.
<volumepath>	Указывает букву диска (с последующим двоеточием).
делетежаурнал	Удаляет или отключает активный журнал изменений USN.

Remarks

Программы могут обратиться к журналу изменений USN, чтобы определить все изменения, внесенные в набор файлов. Журнал изменений USN гораздо эффективнее, чем проверка меток времени или регистрация для получения уведомлений о файлах. журнал изменений USN включается и используется службой индексирования, службой репликации файлов (FRS), службами удаленной установки (RIS) и удаленными служба хранилища.

Если журнал изменений уже существует на томе, параметр креатежаурнал обновляет параметры MAXSIZE и аллокатионделта журнала изменений. Это позволяет увеличить число записей, поддерживаемых активным журналом, без необходимости его отключения.

Размер журнала изменений может увеличиваться, чем это целевое значение, но журнал изменений усекается на следующей контрольной точке NTFS до меньшего значения. NTFS проверяет журнал изменений и обрезает его, если его размер превышает значение MAXSIZE плюс значение аллокатионделта. В контрольных точках NTFS операционная система записывает записи в файл журнала NTFS, который позволяет системе NTFS определить, какая обработка необходима для восстановления после сбоя.

Журнал изменений может увеличиться до суммы значений MAXSIZE и аллокатионделта перед усечением.

Удаление или отключение активного журнала изменений занимает много времени, поскольку система должна получить доступ ко всем записям в главной таблице файлов (MFT) и установить последний атрибут USN равным 0 (нулю). Этот процесс может занять несколько минут, и он может продолжать работу после перезагрузки системы, если требуется перезагрузка. В ходе этого процесса журнал изменений не считается активным или отключен. При отключении журнала система недоступна, и все операции с журналом возвращают ошибки. При отключении активного журнала следует использовать крайне осторожно, поскольку он неблагоприятно влияет на другие приложения, использующие журнал.

Примеры

Чтобы создать журнал изменений USN на диске C, введите:

Чтобы удалить активный журнал изменений USN на диске C, введите:

Чтобы включить отслеживание диапазона с заданным размером фрагмента и порогом размера файла, введите:

Чтобы перечислить и вывести записи журнала изменений между двумя указанными границами на диске C, введите:

Из четырех предыдущих статей, которые посвящены локальным политикам безопасностям, вы уже научились многим методам обеспечения безопасности рабочих мест ваших пользователей. Вы знаете, как можно задать ограничения на пароли учетных записей, управлять политиками аудита, при помощи которых вы можете исследовать попытки вторжения и неудачную аутентификацию ваших пользователей, а также научились определять, для каких пользователей или групп пользователей будут предоставлены различные права и привилегии. Почти всю информацию об ошибках, произошедших на компьютерах пользователей вашей организации можно узнать из журналов событий. С оснасткой «Просмотр событий» вы можете ознакомиться из цикла статей, посвященных данному средству. В этой статье вы узнаете о централизованном управлении настроек журналами событий компьютеров вашей организации, используя локальные политики безопасности.

Политики журналов событий

Задать настройки журналов событий вы можете при помощи четырех политик безопасности, предназначенных для трех основных журналов – журнала безопасности, журнала приложений, а также системного журнала. Ниже вы узнаете обо всех локальных политиках безопасности, используя которые вы можете управлять журналами событий ваших пользователей. Для того чтобы перейти к настройке политик журналов событий, в редакторе управления групповыми политиками откройте узел Конфигурация компьютера/Конфигурация Windows/Параметры безопасности/Локальные политики/Журнал событий. Политики журналов событий вы можете увидеть на следующей иллюстрации:

Рис. 1. Узел «Журнал событий»

Рассмотрим подробно каждую политику данного узла:

Запретить доступ для локальной группы гостей к журналу безопасности. Данная политика безопасности может быть применена только к операционным системам, которые предшествуют Windows Vista. Применяется данная политика с целью ограничения локальной группы гостей, использующих анонимный вход в систему для журнала безопасности в операционных системах Windows XP и Windows 2000. По умолчанию, для клиентов, использующих операционную систему Windows 2000, данная политика отключена, а для пользователей Windows XP – включена.

Запретить доступ для локальной группы гостей к журналу приложений. Действия этой политики безопасности аналогичны политике «Запретить доступ для локальной группы гостей к журналу безопасности». Эта политика отличается от предыдущей только тем, что используя параметры текущей политики, вы можете ограничить гостевых пользователей в доступе к журналу «Приложения». По умолчанию, для клиентов, использующих операционную систему Windows 2000, данная политика отключена, а для пользователей Windows XP – включена.

Запретить доступ для локальной группы гостей к системному журналу. Текущая политика безопасности также как и две предыдущих политики, позволяет пользователям операционных систем Windows XP и Windows 2000 запрещать локальным гостям с анонимным входом в систему иметь доступ к журналу «Система». По умолчанию, для клиентов, использующих операционную систему Windows 2000, данная политика отключена, а для пользователей Windows XP – включена.

Максимальный размер журнала безопасности. В одной из статей посвященных управлению журналами событий я рассказывал о том, как вы можете изменить максимальный размер различных журналов при помощи графического интерфейса или командной строки. Если вам нужно указать максимальный размер определенного журнала для целой группы пользователей, то вы можете упростить себе эту задачу и воспользоваться текущей политикой безопасности. Эта политика безопасности позволяет указывать максимальный размер журнала «Безопасность». Максимальный размер журнала может достигать 4 Гб, но обычно указывают максимальный размер не более 500 Мб. Ограничение размера журнала безопасности может привести к затиранию важных событий, так как по достижению порогового объема, у вас будут удаляться самые старые события, и вместо них будут записываться новые. Размеры файлов журнала должны быть кратны 64 КБ. Если введено значение, не кратное 64 КБ, средство просмотра событий установит размер файла журнала, кратный 64 КБ. Обычно, есть смысл увеличивать размер журнала событий только в том случае, если есть необходимость в тщательной обработке событий безопасности и сохранении журнала на протяжении длительного периода времени. По умолчанию в операционной системе Windows 7 и Windows Vista размер журнала безопасности составляет 20 Мб, в Windows Server 2008 и Windows Server 2008 R2 – 128 Мб, для операционных систем Windows Server 2003 – 16 Мб, а Windows XP – 8 Мб.

Максимальный размер журнала приложений. Настройки этой политики безопасности идентичны настройкам предыдущей политики за исключением того, что здесь вы можете указать максимальный размер журнала «Приложения» для компьютеров и пользователей на которых будет распространена область действия объекта групповой политики.

Максимальный размер системного журнала. От предыдущих двух политик безопасности данная политика отличается лишь тем, что она отвечает за максимальный размер журнала «Система».

Метод сохранения событий в журнале безопасности. Данная политика безопасности напрямую связана с политиками «Максимальный размер журнала безопасности» и «Сохранять события в журнале безопасности» в связи с тем, что эта политика отвечает за перезапись журнала безопасности по превышению установленного лимита на размер. Для вас доступно одно из трех значений. При выборе значения «Затирать события по необходимости», по истечению свободного места в журнале, все старые события будут удаляться, и перезаписываться новыми. Обычно это значение используется в том случае, если у вас нет необходимости в архивировании событий указанного журнала. Значение «Затирать события по дням» целесообразно использовать в том случае, если у вас выполняется архивирование журнала по заданному промежутку времени, которое указывается при помощи политики «Сохранять события в журнале безопасности». В этом случае будут удаляться все события в данном журнале по истечении указанного срока. Также в этом случае стоит обратить внимание на то, чтобы максимальный размер журнала позволял вам сохранять все события за указанный промежуток времени. Значение «Не затирать события (чистка журнала вручную)» обычно используется в том случае, когда есть необходимость в сохранении всех событий непосредственно в журнале. Но стоит учесть, что после того как журнал достигнет максимального размера, все новые события будут просто отклоняться.

Метод сохранения событий в журнале приложений. Параметры этой политики безопасности идентичны настройкам предыдущей политики за исключением того, что здесь вы можете указать настройки сохранения событий для журнала «Приложения» компьютеров и пользователей, на которых будет распространена область действия объекта групповой политики.

Метод сохранения событий в системном журнале. Эта политика безопасности предназначена для настройки сохранения событий в журнале «Система».

Сохранять события в журнале безопасности. Текущая политика безопасности определяет, как долго могут сохраняться события в журнале «Безопасность» в том случае, если для политики «Метод сохранения событий в журнале безопасности» указано значение «Затирать события по дням». Помимо этого вам нужно убедиться в том, что размер вашего журнала позволяет сохранять события за указанный промежуток времени, так как после достижения журналом максимального размера, все новые события будут просто отклоняться.

Сохранять события в журнале приложений. Эта политика безопасности предназначена для определения количества дней, на протяжении которых в журнале «Приложения» будут сохраняться события.

Сохранять события в системном журнале. Параметры этой политики безопасности идентичны настройкам предыдущих двух политик за исключением того, что здесь вы можете указать период времени хранения событий для журнала «Система» компьютеров и пользователей, на которых будет распространена область действия объекта групповой политики.

Примеры использования политик журналов событий

Разберемся с настройками политик безопасности журналов событий на живом примере. В этом примере мы определим настройки журналов событий «Приложения», «Безопасность» и «Система» для группы «Бухгалтерия» организации. Предположим, что в вашем отделе бухгалтерии все компьютеры оснащены операционными системами Windows Vista и Windows 7, в связи с чем, параметры политики «Запретить доступ для локальной группы гостей к журналу …» не будут задействованы. Выполните следующие действия:

1. На контроллере домена создайте группу безопасности «Бухгалтерия» и поместите ее в подразделение «Группы»;
2. Откройте консоль «Управление групповой политикой», где выберите контейнер «Объекты групповой политики» и нажмите на этом контейнере правой кнопкой мыши для отображения контекстного меню;
3. В контекстном меню выберите команду «Создать» и в отобразившемся диалоговом окне «Новый объект групповой политики» введите «Политики журналов событий для отдела бухгалтерии», после чего нажмите кнопку «ОК»;
4. Выберите данный объект групповой политики и из контекстного меню выберите команду «Изменить», как показано на следующей иллюстрации:
   

Рис. 2. Изменение «Политики журналов событий для отдела бухгалтерии»

Рис. 3. Настройка максимального размера журнала безопасности

Рис. 4. Настройка метода сохранения событий в журнале безопасности

Рис. 5. Предлагаемые изменения значений политики «Сохранять события в системном журнале»

Рис. 6. Настроенные политики журналов событий

Закройте данную оснастку.

Рис. 7. Выбор привязываемого объекта групповой политики

Заключение

В этой статье я продолжил описание локальных политик безопасности, которые помогут максимально защитить клиентские компьютеры вашей организации средствами групповых политик. Вы узнали о настройках политик журналов событий, при помощи которых вы можете задавать максимальный размер, выбирать метод сохранения событий, а также определять период времени, на протяжении которого события будут сохраняться в трех основных журналах. В предоставленном примере была проиллюстрирована процедура применения данных политик. В следующей статье вы узнаете о назначении параметров безопасности политик групп с ограниченным доступом, системных служб, реестра, а также файловой системы.

GPO - Настройка размера и удержания журнала событий

Хотите узнать, как использовать политику группы для настройки размера журнала событий и времени хранения? В этом учебнике мы покажем вам, как настроить время хранения и размер журналов просмотра событий Windows.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 10
• Windows 7

Список оборудования

В следующем разделе представлен список оборудования, используемого для создания этого учебника.

Как Amazon Associate, я зарабатываю от квалификационных покупок.

Windows Связанные Учебник:

На этой странице мы предлагаем быстрый доступ к списку учебников, связанных с Windows.

Учебник GPO - Настройка размера и удержания журнала событий

На контроллере домена откройте инструмент управления групповой политикой.

Создание новой групповой политики.

Введите имя для новой политики группы.

В нашем примере, новый GPO был назван: MY-GPO.

На экране управления групповой политикой расширьте папку под названием «Объекты групповой политики».

Нажмите правой кнопкой мыши на новый объект групповой политики и выберите опцию редактирования.

На экране редактора групповой политики расширьте папку конфигурации компьютера и найдите следующий элемент.

Доступ к папке под названием Служба журнала событий.

Доступ к одной из следующих папок: приложение, безопасность, система или настройка.

Включите названный элемент: Укажите максимальный размер файла журнала.

Настройте максимальный размер журнала между 1024 и 4194240.

Это от 1 МБ до 4 ГБ.

Отключите элемент, названный: Поведение журнала событий Управления, когда файл журнала достигает своего максимального размера.

Новые события переназвонят старые события, когда файл журнала достигнет своего максимального размера.

Это поведение по умолчанию на Windows.

Чтобы сохранить конфигурацию групповой политики, необходимо закрыть редактор групповой политики.

1. В дереве консоли выберите элемент Система (System).
2. В меню Действие (Action) щелкните пункт Свойства (Properties).
3. В диалоговом окне свойств журнала выберите Затирать старые со­бытия по необходимости (Overwrite Events As Needed).
4. В поле Максимальный размер журнала (Maximum Log Size) изме­ните максимальный размер журнала на 2048 кбайт и щелкните ОК. Теперь Windows XP Professional будет заполнять журнал, пока его объем не достигнет 2048 кбайт, а затем начнет затирать старые события по мере необходимости.
5. Закройте окно Просмотр событий (Event Viewer) и окно Админист­рирование (Administrative Tools).

Типы регистрируемых событий Таблица 4.8

Продолжение табл. 4.8

Окончание табл. 4.8

Иденти­фи­катор	Категория	Описание
Изменения в списке пользователей	Учетная запись пользователя удалена
Изменения в списке пользователей	Создана новая глобальная группа
Изменения в списке пользователей	Пользователь добавлен в глобальную группу
Изменения в списке пользователей	Пользователь удален из глобальной груп­пы
Изменения в списке пользователей	Глобальная группа удалена
Изменения в списке пользователей	Создана новая локальная группа
Изменения в списке пользователей	Пользователь добавлен в локальную груп­пу
Изменения в списке пользователей	Пользователь удален из локальной группы
Изменения в списке пользователей	Локальная группа удалена
Изменения в списке пользователей	Произведены изменения в учетной записи локальной группы, не связанные с изменением членства пользователей в этой груп­пе
Изменения в списке пользователей	Произведены изменения в списке пользо­вателей, не связанные с редактированием учетных записей
Изменения в списке пользователей	Произведены изменения в учетной записи глобальной группы, не связанные с изме­нением членства пользователей в этой группе
Изменения в списке пользователей	Произведены изменения в учетной записи пользователя, не связанные с изменением типа учетной записи, пароля пользователя и членства пользователя в группах

5. УКАЗАНИЯ ПО ВЫПОЛНЕНИЮ ОТЧЕТА.
Отчет должен содержать:

• название работы;
• цель работы;
• порядок действий по выполнению лабораторной работы;
• выводы по результатам проделанной работы.

6. КОНТРОЛЬНЫЕ ВОПРОСЫ ПО ВЫПОЛНЕННОЙ РАБОТЕ.
1 Какие три журнала Windows XP Professional можно просматривать средствами утилиты просмотра событий? Для чего предназначен каждый из них?
2 Как просмотреть журнал безопасности удаленного компьютера?
3 Какие два способа поиска конкрет­ных событий есть в утилите просмотра событий? Что позволяет делать каждая из команд?
4 Размер любого из журналов может изменяться от_____кбайт до______Гбайт, а по умолчанию он равен________кбайт.

Читайте также:

  
• Обновление windows 10 ломает параметры
  
• Отсутствует ярлык windows требуется файл симс 4
  
• Какой windows server выбрать
  
• Как установить pyqt4 на python 3 на windows
  
• Как создать текстовый документ в виндовс 11