Configuring Log Size GPO

  Windows işletim sistemi, sistem, güvenlik ve uygulama olayları hakkında Windows olay günlükleri adı verilen ayrıntılı ve derinlemesine kayıtları depolar. Windows güvenlik olay günlükleri veya güvenlik denetim günlükleri, kötü niyetli bir aktörün sistemlere, ağlara veya cihazlara yetkisiz erişim elde ettiğini gösterebilecek anormal etkinliği belirlemenize yardımcı olabilecek etkinlikler hakkında veriler sağlar.

Önerilen günlük boyutu tamamen sizin ihtiyaçlarınıza bağlıdır. Ancak log ayarları düzgün yapılandırılmaz ise log kayıpları veya kaçakları (Log Loss Prevention) meydana gelebilir. Örneğin, aynı anda yüzbinlerce dosya sisteme gelirse ve sizin log boyut miktarını geçerse varsayılan olarak eski dosyaların üzerine yazar.

Windows olay günlüğü dosyaları %SystemRoot%\System32\Winevt\Logs\ dizinde .EVTX uzantılı dosyalar olarak saklanır. Her günlük için ayrı bir dosya olduğunu unutmayın. Böylece yalnızca ihtiyacınız olan Windows günlüğünün maksimum boyutunu yönetebilir ve diğerleri için varsayılan ayarları bırakabilirsiniz.

Olay görüntüleyicisini açmak için yönetici olarak eventvwr.msc komutunu kullanın.

Olay görüntüleyicisini açıldıktan sonra, günlük özeti kısmından ayarlanan log boyutlarını ve doluluk oranlarını rahatlıkla görebilirsiniz.

Windows makinadan olay görüntüleyicisini açarsanız tüm logların ayrı ayrı tutulduğunu görebilirsiniz. Herhangi bir log üzerinde Properties seçeneğine tıklayın.

Açılan pencerede log dosyasının tutulduğu yolu ve maximum günlük boyutunun 20MB olarak ayarlandığını görebilirsiniz. Yani bu log herhangi bir yere aktarılmıyor ise doldukça üstüne yazarak eski olanları silecektir. 

Aşağıdaki adımları kullanarak Grup İlkesi ile günlüğü boyutunu yapılandırabilirsiniz.

Grup İlkesi Yönetimi çalıştırın ve yeni bir GPO oluşturun. Ayarlar kısmından  Computer Configuration → Policies → Administrative Templates → Windows Components → Event Log Service bölümünü genişletin.

Bu dizin, temel Windows günlüklerini yönetmek için aşağıdakilerini içerir.

  • Application Log
  • Security Log
  • Setup Log
  • System Log

Günlüğün maksimum boyutunu artırmak için Specify the Maximum log file size(KB) belirle seçeneğini tıklayın. Bu politikayı etkinleştirin ve yapınıza uygun şekilde boyutlandırın.

Maksimum günlük dosyası boyutunu kilobaytlık artışlarla 20 megabayt (20480 kilobayt) ile 2 terabayt (2147483647 kilobayt) arasında olacak şekilde yapılandırabilirsiniz. Bu değer, varsayılan olarak 20 megabayttır.

Örneğin aşağıda security maximum log file size için 4GB ayarlama yapılmıştır.

Tekrar hatırlatmak gerekirse, eski verilerin üzerine yeni veriler yazılmadan başka bir kaynağa aktarmanız gerekmektedir. Aksi halde log kaçakları meydana gelir. Bu yüzden yapınıza en uygun şekilde ayarlama yapmanız gerekmektedir. Eğer bir bilginiz yok ise aktif yapılarda önerilen şeklinde aşağıdaki gibi KB cinsinden uygulayabilirsiniz.

  • Security 4194304KB yani 4GB
  • Application ve System için 102400KB yani 100MB
Blog'a Dön