Merhaba, bazı
durumlar da Serverlarınızın Windows Event Log kayıt boyutunu değiştirmeniz
gerekebilir. Yönetmekte olduğunuz BT Altyapısının yeni bir güvenlik standartına
geçişi söz konusu olabilir veya farklı bir senaryo. Domaine üye sunucu sayınız hayli fazlaysa bu
işlemi kısa bir GPO ayarı ile hızlıca tamamlayabilirsiniz.
Not: yapacağımız policy ayarı ile Windows Event Log
altındaki Application, Sytem ve Security loğlarının boyutunu
değiştireceğiz. Domain Controller
gibi kritik sunucularınızın Rolleriyle ilişkili event loğların “Directory Service, DNS Server” vb boyutunu değiştirmek isterseniz ADMX kullanmanız gerekecek. Veya DC sayınız az ise 3-5 vb manuel bu ayarları
her DC’de yapabilirsiniz. Yada DC
sayınız fazla ise ADMX download edip
ilgili alanın GPO içerisine gelmesini sağladıktan sonra kolayca
değişikliği yapabiliyorsunuz.
İşlemlere başlamadan önce Microsoft’un tavsiye ettiği Event
log kayıt değerlerini aşağıdaki link üzerinden inceleyebilirsiniz.
start > run > eventvwr.msc komutu ile boyutunu değiştireceğimiz log’ların default kotalarını görelim.
Application ve
System içinde değerler aynı.
GPMC üzerinde
tavsiyem yeni bir GPO yaratmanız ve Member serverlarınızın bulunduğu OU üzerine
Linklemeniz. Ben örneğimde ve gerçek projeler de öyle yapıyorum.
Edit seçeneği ile işlemlerimizi yapmaya başlayalım.
Computer Configuration->Policies-> Windows Settings
> Security Settings > Event Log
Bu alanda boyutunu değiştirebileceğimiz 3 tür de log tipi
mevcut. Gerekli olan log türlerini çift tıklayarak değişiklik yapabiliriz.
Ben örnek olması açısından security loğun ekran görüntüsünü
paylaştım. Değeri KB cinsinden belirtmemiz gerekiyor. Yukarıdaki örnekte değeri
4 GB olarak set ettim.
Retention method’la ilgili de ayar yapabilirsiniz. Retention
method nedir dersek loğlar belirlenen
boyuta ulaştığında alınması gereken aksiyon.
GPO tarafındaki ayarlarımızı tamamladık. Yapımızın
büyüklüğüne göre bir süre bekleyebilir veya Serverlarımızın olduğu OU üzerinde
sağ click > GPO update diyerek süreci tetikleyebiliriz.
Önek birkaç serverda yaptığımız değişikliği kontrol edelim.
Policy’miz uygulanmış durumda. Ben Retention method set
etmemiştim. Dolayısıyla OS kurulduğu andaki default ayar tanımlı kalmış.
İlgili policy’nin elle müdahaleye açık olduğunu fark
edebilirsiniz endişelenmeyin Security policy olduğu için 90 dakika içinde
tekrar policy’deki yazılı ayara geri dönecektir.
Daha kapsamlı ayarları dilerseniz > Computer Configuration->Policies->Administrative
Templates->Windows Components->Event Log Service altından da
yapabilirsiniz.
Not: DC sayınız fazla
olduğu durumda gerekli olan bir ADMX den bahsetmiştim yazımın başında ilgili
ADMX download sayfası aşağıdaki linkde mevcut.
