В этой статье объясняется, как с помощью консоли управления Exchange и средства Wevtutil настроить размер и местоположение журналов событий аудита Exchange.

В Windows Server 2008 можно просматривать текущий размер и местоположение журналов событий с помощью средства Wevtutil. В Windows Server 2003 можно менять местоположение журналов событий, внося изменения в реестр.

Примечание.
Если необходимо уменьшить размер файла журнала, сначала нажмите кнопку Очистить журнал, чтобы сбросить размер файла журнала.

Предварительная подготовка

Чтобы выполнить эту процедуру, используемой учетной записи необходимо делегировать следующие полномочия:

  • права локального администратора;

  • права администратора организации Exchange.

Дополнительные сведения о разрешениях, делегировании ролей и правах, необходимых для администрирования Exchange Server 2007, см. в разделе Вопросы, связанные с разрешениями.

Процедура

Просмотр текущего размера и местоположения журнала событий аудита Exchange с помощью средства Wevtutil

  • Выполните следующую команду:

    Копировать код 
    wevtutil gl "Exchange Auditing"

Эта команда вернет примерно следующие выходные данные:

name: аудит Exchange

enabled: истина

type: Admin

owningPublisher:

isolation: Приложение

channelAccess: O:BAG:SYD:(D;;CCDCLC;;;AN)(D;;CCDCLC;;;BG)(A;;CCDC;;;SY)(A;;CCDC;;;S-1-5-21-2105946205-4879329-3509040111-1103)(A;;CCLC;;;S-1-5-21-2105946205-4879329-3509040111-1104)(A;;CCLC;;;S-1-5-21-2105946205-4879329-3509040111-1105)

logging:

logFileName: %SystemRoot%\System32\Winevt\Logs\Exchange Auditing.evtx

retention: истина

autoBackup: истина

maxSize: 1052672

publishing:
Примечание.
Обратите внимание, что в этих выходных данных для параметров Retention и AutoBackup задано значение Истина. Для правильной архивации журналов событий для обоих этих параметров должно быть задано значение Истина.

Изменение пути к файлу журнала событий аудита Exchange с помощью средства Wevtutil

  • Выполните следующую команду:

    Копировать код 
    Wevtutil sl "Exchange Auditing" /lfn:<path>\ExchangeAuditing\ExAudit.evtx

    В этой команде замените параметр <path> соответствующей буквой диска или путем.

Изменение размера журнала событий аудита Exchange с помощью средства Wevtutil

  • Выполните следующую команду:

    Копировать код 
    Wevtutil sl "Exchange Auditing" /ms:<size in bytes>

    Например, чтобы задать для журнала размер 100 МБ, выполните следующую команду:

    Копировать код 
    Wevtutil sl "Exchange Auditing" /ms:104857600

Дополнительные сведения об использовании средства Webutil см. в статье Wevtutil (на английском языке).

Дополнительные сведения об изменении местоположения журнала событий в Windows Server 2003 см. в статье 315417 базы знаний Майкрософт How to move Event Viewer log files to another location in Windows 2000 and in Windows Server 2003 (на английском языке).

Изменение размера и пути журнала аудита Exchange с помощью консоли управления Exchange

  1. В проводнике создайте папку, в которой будет храниться журнал аудита Exchange.

  2. Нажмите кнопку Пуск, выберите пункт Выполнить, введите eventvwr и нажмите кнопку ОК.

  3. В приложении «Просмотр событий» разверните узел Журналы приложений и служб и щелкните пункт Аудит Exchange.

  4. Щелкните правой кнопкой мыши элемент Аудит Exchange и выберите пункт Свойства.

  5. В поле Путь к журналу введите полный путь к новому EVTX-файлу журнала событий.

  6. В поле Макс. размер журнала (КБ) задайте значение для размера файла журнала.

  7. Нажмите кнопку ОК.

Дополнительные сведения