安全日志的自动备份方法

对于启用了安全审核策略的服务器，日常产生的审核日志记录都会写入到安全事件日志中，因此安全日志文件大小上限需要适当调大（因为事件日志使用的是内存缓存空间，因此也不能任意调大，通常250M以下是比较安全的），另外我们可以使用如下方法设定安全日志的自动备份:

1.      在服务器上使用管理员身份登录后, 运行regedit打开注册表编辑器;

2.      在以下路径创建DWORD值AutoBackupLogFiles并设置其值为1;

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security

3.      运行eventvwr打开事件查看器;

4.      右击安全事件日志,选中"Do not overwrite events (clear log manually)"选项；

5.     在安全事件日志属性页， 选择”Clear all events”, 在随后的“Do you want to save the “security “before clearing it?”对话框中, 选择”YES”备份现有安全日志记录;

至此, 该自动备份安全事件日志的设置将生效; 当下一次该日志满时, 该日志文件将会被自动备份到安全事件日志文件SecEvent.evt所在的默认路径%SystemRoot%\System32\Config下, 文件名为Archive-Security-YYYY-MM-DD-HH-MM-SSS-mmm.evt, 并且在安全日志中新增一条524日志记录, 描述为“The Security log file was saved as Security-2002-02-05-22-48-40-042.evt because the current log file is full. ”.

注意:

1.      只有当系统重启或是事件日志被清空后, AutoBackupLogFiles键值的改变才会生效;

2.      该事件日志属性中必须配置为Do not overwrite events (clear log manually).

3.      需要使用脚本或手工定期将%SystemRoot%\System32\Config下的名为Archive-Security-YYYY-MM-DD-HH-MM-SSS-mmm.evt的日志备份文件迁移到非系统分区上, 以避免长期积累导致系统分区剩余空间不足；或者也可以更改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security路径下File字串所指定的路径，使得日志文件以及其备份被存放在空间较大的数据分区上，该路径的更改需要重启服务器(因EventLog服务是不能单独重启的).

4.         该方法在Windows 2003/Windows 2000/Windows XP上均可用。

*****************************************************

当然还可以制作成注册表文件配合脚本自动备份日志并压缩到指定文件夹备份。

1.注册表文件AutoBackupLogFiles.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security]
"AutoBackupLogFiles"=dword:00000001

2.脚本文件：

'===========================================================
' NAME: 压缩日志备份文件 v0.1
' 魏强/197623
' DATE  : 2011-1-19
' COMMENT: 需将Rar.exe放在同一目录下,适用于Win2003 x86版本
'===========================================================

strLogFileFolder = "C:\WINNT\system32\config" '日志备份文件所在路径
strArchiveFolder = "C:\LogBackup"  '压缩文件存放路径
strLogFilePrefix = "Archive-Security-"  '日志备份文件名的前缀

Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objFolder = objFSO.GetFolder(strLogFileFolder)
Set objFileCollection = objFolder.Files
For Each objFile in objFileCollection
 If Instr(1,Ucase(objFile.Name),Ucase(strLogFilePrefix))= 1 And _
  Ucase(Right(objFile.Name,4)) <> ".RAR" Then
  RarCompress objFile.Name,strLogFileFolder,strArchiveFolder
 End If
Next
Sub RarCompress(strFile,strSourceFolder,strDestFolder)
 Set objWSH = CreateObject("WScript.Shell")
 strSourceFile = strSourceFolder &"\" &strFile
 strTargetFile = strDestFolder &"\" &Left(strFile,InStrRev(strFile,".")) &"rar"
 strRarCMD = "RAR.exe a -m3 -ep -o+ -df " &strTargetFile &" " &strSourceFile
 objWSH.Run strRarCMD,0,True
 objWSH.LogEvent 0,Now() &" 将文件 " &strSourceFile &" 压缩为 " &strTargetFile
End Sub

3.rar.exe

以上三个文件放在同一文件夹：LogBackup即可。