Standardmäßig ist die Größe des Ereignisprotokolls auf 512 KB festgelegt, darüber hinaus werden Ereignisse überschrieben. Um die Größe des Ereignisprotokolls zu ändern, muss der Speicherort der Ereignisprotokolldatei vom Standard geändert werden. Um dies zu tun, folgen Sie den folgenden Schritten:
Verschieben der Ereignisprotokolldatei:
- Erstellen Sie ein neues Volume im EMC-Dateisystem, indem Sie zu Speicher > Datei > Datei-Systeme-Tab > Neues Dateisystem erstellen navigieren.
- Erstellen Sie in diesem Volume eine neue versteckte Freigabe, indem Sie zu Speicher > Datei > SMB-Freigaben > Freigabe erstellen navigieren. Wählen Sie das Dateisystem, das Sie im vorherigen Schritt erstellt haben. Sobald die SMB-Freigabe erstellt ist, kopieren Sie ihren lokalen Pfad zusammen mit dem Laufwerksbuchstaben. Alternativ können Sie den lokalen Pfad unter Computerverwaltung Konsole > Systemwerkzeuge > Freigegebene Ordner > Freigaben > Rechtsklick auf die versteckte Freigabe > Eigenschaften > Ordnerpfad erhalten.
- Gehen Sie zu Ausführen > regedit > Datei > Netzwerkregistrierung verbinden > geben Sie den Namen des EMC-CIFS-Servers ein.
- Gehen Sie zu HKEY_LOCAL_MACHINE > System > CurrentControlSet > Services > Eventlog > Security > Security.
- Geben Sie den lokalen Pfad der versteckten Freigabe (erstellt in Schritt ii) als Schlüssel Name unter Datei > [Lokaler Pfad des Audit-Protokolls] an. Der Standardstandort der Ereignisprotokolldatei wird nun aktualisiert.
Konfigurieren der Archivierungseinstellungen:
- Gehen Sie zu Ausführen > eventvwr > Rechtsklick Ereignisanzeige > Mit anderem Computer verbinden > geben Sie den Namen des Ziel-EMC-CIFS-Servers ein.
- Gehen Sie zu Sicherheitsprotokoll > Rechtsklick Eigenschaften > wählen Sie Ereignisse nicht überschreiben.
- Gehen Sie zu Ausführen > regedit > Datei > Netzwerkregistrierung verbinden > geben Sie den Namen des Ziel-EMC-CIFS-Servers ein.
- Gehen Sie zu HKEY_LOCAL_MACHINE > System > CurrentControlSet > Services > Eventlog > Security > Security.
- Geben Sie die folgenden Werte für die Archivierungseinstellungen an:
- AutoArchiveEnabled: 1
- AutoArchiveTriggerPolicySize: 512 MB
- AutoArchiveRetentionPolicySize: 10 GB
Um zu überprüfen, ob die Änderungen mit ADAudit Plus synchronisiert wurden, melden Sie sich in der ADAudit Plus-Webkonsole an und navigieren Sie zu Dateiaudit > Konfigurierte Server > EMC-Server > klicken Sie auf das EMC Audit Options Symbol. Wenn die Änderungen noch nicht angezeigt werden, klicken Sie auf Aktualisieren in der oberen rechten Ecke der Tabelle.
