如何設定 Exchange 稽核事件記錄檔的大小與位置

發行項
10/25/2013

適用版本： Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1

上次修改主題的時間： 2009-05-26

本主題說明如何使用 Exchange 管理主控台與 Wevtutil 工具，設定 Exchange 稽核事件記錄檔的大小與位置。

在 Windows Server 2008 中，您可以使用 Wevtutil 工具檢視事件記錄檔目前的大小與位置。在 Windows Server 2003 中，您可以修改登錄，以變更事件記錄檔的位置。

附註：
若要將記錄檔的大小調整為較低的值，您必須先按一下 [清除記錄檔]，以重設記錄檔的大小

開始之前

若要執行此程序，必須對您使用的帳戶委派下列項目：

本機系統管理員權限
Exchange 組織系統管理員權限

如需管理 Exchange Server 2007 所需之權限、委派角色及權利的相關資訊，請參閱權限考量。

程序

使用 Wevtutil 檢視 Exchange 稽核記錄檔目前的大小與位置

執行下列命令：
```
wevtutil gl "Exchange Auditing"
```

此命令會產生如下輸出：

name: Exchange Auditing

enabled: true

type: Admin

owningPublisher:

isolation: Application

channelAccess: O:BAG:SYD:(D;;CCDCLC;;;AN)(D;;CCDCLC;;;BG)(A;;CCDC;;;SY)(A;;CCDC;;;S-1-5-21-2105946205-4879329-3509040111-1103)(A;;CCLC;;;S-1-5-21-2105946205-4879329-3509040111-1104)(A;;CCLC;;;S-1-5-21-2105946205-4879329-3509040111-1105)

logging:

logFileName: %SystemRoot%\System32\Winevt\Logs\Exchange Auditing.evtx

retention: true

autoBackup: true

maxSize: 1052672

publishing:

附註：
在此輸出中，請留意 Retention 與 AutoBackup 參數皆設為 [True]。這兩項設定皆必須為 [True]，事件記錄檔才能正確地進行自動封存。

使用 Wevtutil 變更 Exchange 稽核記錄檔路徑

執行下列命令：
```
Wevtutil sl "Exchange Auditing" /lfn:<path>\ExchangeAuditing\ExAudit.evtx
```
在此命令中，將 <path> 替換為適當的磁碟機代號或路徑。

使用 Wevtutil 變更 Exchange 稽核記錄檔大小

執行下列命令：

Wevtutil sl "Exchange Auditing" /ms:<size in bytes>

例如，若要將記錄檔變更為 100 MB，請執行：

Wevtutil sl "Exchange Auditing" /ms:104857600

如需如何使用 Wevtutil 的相關資訊，請參閱 Wevtutil。

如需如何在 Windows Server 2003 中變更事件記錄檔位置的相關資訊，請參閱 Microsoft 知識庫文章 315417 如何在 Windows 2000 與 Windows Server 2003 中，將事件檢視器記錄檔移至其他位置 (英文)。

使用 Exchange 管理主控台變更 Exchange 稽核記錄檔的大小與路徑

使用 Windows 檔案總管，建立用以儲存 Exchange 稽核記錄檔的資料夾。
依序按一下 [開始] 及 [執行]，並輸入 eventvwr，然後按一下 [確定]。
在 [事件檢視器] 中展開 [應用程式與服務記錄檔]，然後按一下 [Exchange 稽核]。
在 [Exchange 稽核] 上按一下滑鼠右鍵，然後按一下 [內容]。
在 [記錄檔路徑] 方塊中，輸入 .evtx 事件記錄檔之新位置的完整路徑。
在 [最大記錄檔大小 (KB)] 方塊中，為記錄檔的大小指定適當的值。
按一下 [確定]。