Конфигурирование журналов событий
Системные администраторы частенько забывают о необходимости контроля за журналами событий, и те переполняются. Чтобы этого не произошло, нужно запустить программу Administrative Tools из окна Control Panel, открыть Event Viewer и щелкнуть правой кнопкой мыши на каждом из журналов и выбрать в меню команду Properties. По умолчанию для всех журналов устанавливаются следующие параметры: размер 512 Кбайт; перезапись событий, произошедших более 7 дней назад. Эти установки можно не менять. Но если какое-либо из используемых приложений (например, Microsoft SQL Server) часто добавляет новые записи в журнал, то, возможно, стоит увеличить максимальный размер журнала или выбрать режим Overwrite events as needed (см. Экран 3).
экран 3. Настройка журнала приложений.
Хотя нужно иметь в виду, что в целях повышения безопасности (например, если в организации используются требования категории C2), следует установить переключатель в положение Do not overwrite events - clear log manually. Системные администраторы часто комбинируют этот режим с архивированием журнала в файл для проведения аудита при возникновении экстренной ситуации.
