事件日志设置
您可以在组策略对象编辑器的下列位置配置事件日志设置:
计算机配置\Windows 设置\安全设置\事件日志\事件日志设置
事件日志大小最大值
此策略设置指定应用程序、安全和系统事件日志的大小最大值。尽管组策略对象编辑器和 Microsoft 管理控制台 (MMC) 事件查看器管理单元的用户界面 (UI) 都允许您输入 4 GB 大小的值,但由于某些原因,这些日志的有效最大值要小得多。
Event Log 服务使用内存映射文件,并作为 Services.exe 进程下的一项服务 Eventlog.dll 运行。以这种方式加载文件时,整个文件都将被加载到计算机内存。所有当前版本的 Microsoft Windows® 对内存映射文件都具有结构性限制:进程的内存映射文件的总大小不能超过 1 GB。此限制意味着 Services.exe 进程下运行的所有服务都必须共享 1 GB 的池。内存以连续的 64 KB 部分进行分配,如果计算机不能为扩展内存映射文件分配附加内存,将会出现问题。
对于 Event Log 服务,使用内存映射文件意味着不管“事件日志大小最大值”设置指定的内存量有多大,对于内存映射文件当计算机没有更多的可用内存时可能不再记录日志事件。系统将不显示错误消息,但事件根本不会出现在事件日志中,或者这些事件可能会覆盖以前记录的其他事件。内存中的日志文件碎片还将导致繁忙的计算机出现严重的性能问题。
由于这些限制,尽管内存映射文件的理论极限建议与此不同,并且事件查看器和组策略对象编辑器 UI 允许为每个日志指定最大 4 GB 的空间,但是 Microsoft 已经验证,在大多数服务器上的实际极限约是 300 MB,也就是说,所有事件日志的总和为 300 MB。在 Microsoft Windows XP、成员服务器和独立服务器上,应用程序、安全性和系统事件日志的总大小不应超过 300 MB。在域控制器上,这三个日志以及 Active Directory® 目录服务、DNS 和复制日志的总大小不应超过 300 MB。
这些限制为某些 Microsoft 客户带来了问题,但解除这些限制的唯一方法,需要对记录系统事件的方式进行根本性的更改。Microsoft 正在改写事件日志系统以在下一版本的 Windows 中解决这些问题。
