如何設定 Exchange 稽核事件記錄檔的自動封存

Exchange 2007
 

適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1

上次修改主題的時間: 2009-05-15

本主題說明如何在 Windows Server 2008 中使用事件檢視器工具,設定 Microsoft Exchange 稽核事件記錄檔的自動封存。

Windows Server 2008 可以在到達事件記錄檔的大小上限時,自動封存事件記錄檔。這個 Windows Server 2008 事件記錄檔設定名為 [當記錄檔已滿時進行封存,不要覆寫事件]。Exchange 稽核事件記錄檔預設會啟用此設定。到達 Exchange 稽核事件記錄檔的大小上限時,Windows Server 2008 會關閉目前的記錄檔,並將記錄檔封存至 Exchange 稽核記錄所在的資料夾。您可在事件檢視器的 [已儲存的記錄] 下查看封存的記錄檔。

important重要事項:
不建議您將稽核記錄存放在與資料庫和交易記錄檔相同的邏輯磁碟上。如果可用的硬碟空間很少,而稽核記錄又耗用掉所有可用的磁碟空間,則 Microsoft Exchange 資訊儲存庫服務會因為磁碟空間不足而卸載資料庫。

封存記錄檔的格式如下所示:

Archive-<Exchange 稽核記錄檔名>-<日期時間>.evtx

例如,如果 Exchange 稽核記錄檔名的路徑為 D:\ExchangeAuditing\ExchangeAuditing.evtx,則檔案名稱類似於:

Archive-ExchangeAuditing-2009-05-06-12-54-33-725.evtx

記錄檔已換用後,系統記錄檔中就會記錄事件識別碼 105。這個事件看起來類似下列:

範例事件識別碼 105 項目

 

記錄檔名稱:系統

來源:Microsoft-Windows-Eventlog

事件識別碼: 105

工作類別:記錄檔自動備份

層次:參考

描述:

事件記錄檔自動備份

記錄:Exchange 稽核

檔案:d:\ExchangeAuditing\ Archive-ExchangeAuditing-2009-05-06-12-54-33-725

若要執行此程序,必須對您使用的帳戶委派下列項目:

  • 本機系統管理員權限

如需管理 Exchange Server 2007 所需之權限、委派角色及權利的相關資訊,請參閱權限考量

  1. 依序按一下 [開始] 和 [執行],並輸入 eventvwr,然後按一下 [確定]。

  2. 在 [事件檢視器] 中展開 [應用程式和服務] 記錄檔,然後按一下 [Exchange 稽核]。

  3. 在 [Exchange 稽核] 上按一下滑鼠右鍵,然後按一下 [內容]。

  4. 按一下 [當記錄檔已滿時進行封存,不要覆寫事件]。

  5. 按一下 [確定]。

若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.
顯示: