如何設定 Exchange 稽核事件記錄檔的大小與位置

Exchange 2007
 

適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1

上次修改主題的時間: 2009-05-26

本主題說明如何使用 Exchange 管理主控台與 Wevtutil 工具,設定 Exchange 稽核事件記錄檔的大小與位置。

在 Windows Server 2008 中,您可以使用 Wevtutil 工具檢視事件記錄檔目前的大小與位置。在 Windows Server 2003 中,您可以修改登錄,以變更事件記錄檔的位置。

note附註:
若要將記錄檔的大小調整為較低的值,您必須先按一下 [清除記錄檔],以重設記錄檔的大小

若要執行此程序,必須對您使用的帳戶委派下列項目:

  • 本機系統管理員權限
  • Exchange 組織系統管理員權限

如需管理 Exchange Server 2007 所需之權限、委派角色及權利的相關資訊,請參閱權限考量

  • 執行下列命令:

    wevtutil gl "Exchange Auditing"
    

此命令會產生如下輸出:

 

name: Exchange Auditing

enabled: true

type: Admin

owningPublisher:

isolation: Application

channelAccess: O:BAG:SYD:(D;;CCDCLC;;;AN)(D;;CCDCLC;;;BG)(A;;CCDC;;;SY)(A;;CCDC;;;S-1-5-21-2105946205-4879329-3509040111-1103)(A;;CCLC;;;S-1-5-21-2105946205-4879329-3509040111-1104)(A;;CCLC;;;S-1-5-21-2105946205-4879329-3509040111-1105)

logging:

logFileName: %SystemRoot%\System32\Winevt\Logs\Exchange Auditing.evtx

retention: true

autoBackup: true

maxSize: 1052672

publishing:

note附註:
在此輸出中,請留意 RetentionAutoBackup 參數皆設為 [True]。這兩項設定皆必須為 [True],事件記錄檔才能正確地進行自動封存。

  • 執行下列命令:

    Wevtutil sl "Exchange Auditing" /lfn:<path>\ExchangeAuditing\ExAudit.evtx
    

    在此命令中,將 <path> 替換為適當的磁碟機代號或路徑。

  • 執行下列命令:

    Wevtutil sl "Exchange Auditing" /ms:<size in bytes>
    

    例如,若要將記錄檔變更為 100 MB,請執行:

    Wevtutil sl "Exchange Auditing" /ms:104857600
    

如需如何使用 Wevtutil 的相關資訊,請參閱 Wevtutil

如需如何在 Windows Server 2003 中變更事件記錄檔位置的相關資訊,請參閱 Microsoft 知識庫文章 315417 如何在 Windows 2000 與 Windows Server 2003 中,將事件檢視器記錄檔移至其他位置 (英文)。

  1. 使用 Windows 檔案總管,建立用以儲存 Exchange 稽核記錄檔的資料夾。

  2. 依序按一下 [開始] 及 [執行],並輸入 eventvwr,然後按一下 [確定]。

  3. 在 [事件檢視器] 中展開 [應用程式與服務記錄檔],然後按一下 [Exchange 稽核]。

  4. 在 [Exchange 稽核] 上按一下滑鼠右鍵,然後按一下 [內容]。

  5. 在 [記錄檔路徑] 方塊中,輸入 .evtx 事件記錄檔之新位置的完整路徑。

  6. 在 [最大記錄檔大小 (KB)] 方塊中,為記錄檔的大小指定適當的值。

  7. 按一下 [確定]。

若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.
顯示: