В этом разделе приведены сведения о том, как с помощью средства "Просмотр событий" в Windows Server 2008 настроить автоматическую архивацию журналов событий аудита Microsoft Exchange.

В Windows Server 2008 имеется возможность автоматической архивации журнала событий при достижении максимального размера этого журнала. Соответствующий параметр журнала событий Windows Server 2008 называется Архивировать журнал при заполнении; не перезаписывать события. По умолчанию этот параметр для журнала событий аудита Exchange включен. При достижении максимального размера журнала событий аудита Exchange сервер Windows Server 2008 закрывает текущий файл журнала и архивирует его в папку, в которой расположен журнал аудита Exchange. Архивированные файлы журналов можно найти в разделе Сохраненные журналы средства просмотра событий.

Важно!
Не рекомендуется хранить журналы аудита на тех логических дисках, на которых хранятся файлы журналов баз данных и транзакций. Если на жестком диске мало свободного места, а журналы аудита занимают все доступное дисковое пространство, служба банка данных Microsoft Exchange отключит базы данных, поскольку места на диске недостаточно.

Важно!

Не рекомендуется хранить журналы аудита на тех логических дисках, на которых хранятся файлы журналов баз данных и транзакций. Если на жестком диске мало свободного места, а журналы аудита занимают все доступное дисковое пространство, служба банка данных Microsoft Exchange отключит базы данных, поскольку места на диске недостаточно.

Имя архивированного файла журнала имеет следующий формат:

Archive-<имя файла журнала аудита Exchange>-<дата_время>.evtx

Например, если файл журнала аудита Exchange расположен по пути D:\ExchangeAuditing\ExchangeAuditing.evtx, имя архивированного файла журнала будет иметь следующий вид:

Archive-ExchangeAuditing-2009-05-06-12-54-33-725.evtx

После архивации файла журнала в журнал системы записывается событие с кодом 105. Это событие имеет следующий вид:

Пример записи события с кодом 105

Имя журнала: Система

Источник: Microsoft-Windows-Eventlog

Код события: 105

Категория задачи: Автоматическое резервное копирование журнала

Уровень: Сведения

Описание:

Автоматическое резервное копирование журнала событий

Журнал: Аудит Exchange

Файл: d:\ExchangeAuditing\ Archive-ExchangeAuditing-2009-05-06-12-54-33-725

Предварительная подготовка

Для выполнения описанной ниже процедуры используемой учетной записи необходимо делегировать следующие полномочия:

права локального администратора.

Дополнительные сведения о разрешениях, делегировании ролей и правах, необходимых для администрирования сервера Exchange Server 2007, см. в разделе Вопросы, связанные с разрешениями.

Процедура

Автоматическая архивация журналов событий с помощью средства просмотра событий Windows Server 2008

Нажмите кнопку Пуск, выберите команду Выполнить, введите eventvwr и нажмите кнопку ОК.
В средстве просмотра событий разверните журналы Приложение и службы, а затем выберите Аудит Exchange.
Щелкните правой кнопкой мыши журнал Аудит Exchange и выберите пункт Свойства.
Выберите параметр Архивировать журнал при заполнении; не перезаписывать события.
Нажмите кнопку ОК.

Дополнительные сведения

Дополнительные сведения об аудите Exchange см. в разделе Общие сведения об аудите доступа к почтовым ящикам с использованием Exchange Server 2007 с пакетом обновления 2 (SP2).