如何配置 Exchange 审核事件日志的大小与位置
适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1
上一次修改主题: 2009-05-26
本主题解释如何使用 Exchange 管理控制台和 Wevtutil 工具配置 Exchange 审核事件日志的大小和位置。
在 Windows Server 2008 中,您可以使用 Wevtutil 工具查看当前事件日志的大小和位置。在 Windows Server 2003 中,您可以修改注册表来更改事件日志的位置。
.gif "note") 注意: |
|---|
| 如果要降低日志文件的大小,必须首先单击清除日志来重置日志文件的大小 |
开始之前
若要执行此步骤,必须为您使用的帐户委派下列角色:
本地管理员权限
Exchange 组织管理员权限
有关管理 Exchange Server 2007 所需的权限、角色委派以及权利的详细信息,请参阅权限注意事项。
步骤
使用 Wevtutil 查看当前事件 Exchange 审核日志的大小和位置的步骤
运行以下命令:
wevtutil gl "Exchange Auditing"
此命令会生成类似以下内容的输出:
name:Exchange Auditing enabled:true type:Admin owningPublisher: isolation:Application channelAccess:O:BAG:SYD:(D;;CCDCLC;;;AN)(D;;CCDCLC;;;BG)(A;;CCDC;;;SY)(A;;CCDC;;;S-1-5-21-2105946205-4879329-3509040111-1103)(A;;CCLC;;;S-1-5-21-2105946205-4879329-3509040111-1104)(A;;CCLC;;;S-1-5-21-2105946205-4879329-3509040111-1105) logging: logFileName:%SystemRoot%\System32\Winevt\Logs\Exchange Auditing.evtx retention:true autoBackup:true maxSize: 1052672 publishing: |
| 注意: |
|---|
| I请注意,在此输出中 Retention 和 AutoBackup 参数均设为 True。这两个设置必须为 True 才能实现事件日志的正确自动归档。 |
使用 Wevtutil 更改 Exchange 审核日志文件路径的步骤
运行以下命令:
Wevtutil sl "Exchange Auditing" /lfn:<path>\ExchangeAuditing\ExAudit.evtx在此命令中,请将 <path> 替换为相应的驱动器盘符或路径。
使用 Wevtutil 更改 Exchange 审核日志大小的步骤
运行以下命令:
Wevtutil sl "Exchange Auditing" /ms:<size in bytes>例如,要将日志文件的大小更改为 100 MB,请运行:
Wevtutil sl "Exchange Auditing" /ms:104857600
有关 Wevtutil 使用方法的详细信息,请参阅 Wevtutil。
有关如何在 Windows Server 2003 中更改事件日志位置的详细信息,请参阅 Microsoft 知识库文章 315417, 如何将 Windows 2000 和 Windows Server 2003 中的事件查看器日志文件移到其他位置。
使用 Exchange 管理控制台更改 Exchange 审核日志的大小和路径
使用 Windows Explorer 创建一个用于存放 Exchange 审核日志文件的文件夹。
单击**“开始”,再单击“运行”,键入 eventvwr,然后单击“确定”**。
在事件查看器中,展开**“应用程序和服务日志”,然后单击“Exchange 审核”**。
右键单击**“Exchange 审核”,然后单击“属性”**。
在**“日志路径”**框中,键入 .evtx 事件日志文件新位置的完整路径。
在**“日志最大大小(KB)”**框中,为日志文件的大小指定一个合适的值。
单击**“确定”**。
详细信息
有关 Exchange 审核的详细信息,请参阅了解 Exchange Server 2007 Service Pack 2 的邮箱访问审核。