如何配置 Exchange 审核事件日志的自动存档
适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1
上一次修改主题: 2009-05-15
本主题介绍如何在 Windows Server 2008 中使用事件查看器工具配置 Microsoft Exchange 审核事件日志的自动存档。
Windows Server 2008 可以在达到事件日志大小的最大值时对事件日志进行自动存档。此 Windows Server 2008 事件日志设置名为“日志已满时进行存档,不要覆盖事件”。默认情况下,对 Exchange 审核事件日志启用该设置。在达到 Exchange 审核事件日志大小的最大值时,Windows Server 2008 会关闭当前日志文件并将日志文件存档到 Exchange 审核日志所在的文件夹。可以在事件查看器的“存档日志”下查看存档日志文件。
要点: |
---|
建议不要在作为数据库和事务日志文件的同一逻辑驱动器上存储审核日志。如果可用的硬盘驱动器空间较小,且审核日志占用所有可用硬盘空间,则 Microsoft Exchange 信息存储服务将卸除数据库,因为硬盘驱动器空间不足。 |
存档日志文件的格式如下:
Archive-<Exchange 审核日志文件名>-<日期时间>.evtx
例如:如果 Exchange 审核日志文件名的路径为 D:\ExchangeAuditing\ExchangeAuditing.evtx,则文件名类似于以下名称:
Archive-ExchangeAuditing-2009-05-06-12-54-33-725.evtx
在日志文件循环后,事件 ID 105 会记录到系统日志中。此事件日志如下:
示例事件 ID 105 个条目
日志名称: 系统 源: Microsoft-Windows-Eventlog 事件 ID:105 任务类别:日志自动备份 级别: 信息 说明: 事件日志自动备份 日志:Exchange 审核 文件:d:\ExchangeAuditing\ Archive-ExchangeAuditing-2009-05-06-12-54-33-725 |
开始之前
若要执行此步骤,必须为您使用的帐户委派下列角色:
- 本地管理员权限
有关管理 Exchange Server 2007 所需的权限、角色委派以及权利的详细信息,请参阅权限注意事项。
步骤
使用 Windows Server 2008 事件查看器自动存档事件日志的步骤
依次单击“开始”、“运行”,键入 eventvwr,然后单击“确定”。
在事件查看器中,展开“应用程序和服务”日志,然后单击“Exchange 审核”。
右键单击“Exchange 审核”,然后单击“属性”。
单击“日志已满时进行存档,不要覆盖事件”。
单击“确定”。
详细信息
有关 Exchange 审核的详细信息,请参阅了解 Exchange Server 2007 Service Pack 2 的邮箱访问审核。