Windows 7 / Mise en route
Windows Server et Exchange Server peuvent générer de nombreuses informations concernant leur utilisation des journaux d’événements Windows. Exchange générera la plupart de ses informations dans le journal des événements d’application et, éventuellement, dans le journal des événements d’audit.
Les éléments placés dans le journal des événements d’audit sont généralement des éléments de type Succès / Échec qui sont liés à la sécurité. Cela inclut l’ouverture d’une boîte aux lettres, l’ouverture d’un dossier et l’utilisation de SendAs.
Les éléments placés dans le journal des événements de l’application peuvent contenir des informations de pratiquement n’importe quel type, mais sont généralement séparés en l’un des trois niveaux suivants : Information, Avertissement ou Erreur.
Dans Windows Server 2008, le sous-système de journal des événements de Windows a été reconstruit à partir de zéro.Avant cette version de Windows, la taille totale de tous les journaux d’événements combinés (en raison d’une contrainte d’implémentation) ne devait jamais dépasser 300 Mo. À partir de Windows Server 2008, cette limitationest partie. Indépendamment de la suppression de cette restriction, les journaux d’événements sont livrés avec des tailles par défaut assez petites. Les tailles par défaut dans Windows Server 2008 R2 sont indiquées dans le tableau 5.
Tableau 5 : Tailles de journaux d’événements Windows par défaut dans Windows Server 2008 R2
Event Log SizeApplication 20 MBSecurity 128 MBSystem 20 MB
Nous vous recommandons d’augmenter considérablement la taille de vos journaux d’événements avant d’en avoir besoin. Lorsque viendra le temps de diagnostiquer un problème, vous trouverez cela difficile (voire impossible) si vous ne pouvez pas accéder à toutes les informations qui pourraient vous être disponibles.
Afficher la taille d’un journal d’événements Windows (et l’ajuster) est une question simple. Ouvrez theEvent Viewer dans les outils d’administration et développez le nœud de journal Windows. Cliquez avec le bouton droit sur Journal des événements aparticulaire et sélectionnez Propriétés dans le menu contextuel. La boîte de dialogue des propriétés du journal des événements système s’affiche dans la configuration par défaut.
Nous vous recommandons de définir les tailles des trois journaux d’événements principaux sur les valeurs affichées dans la table-6 au minimum. Si vous avez des serveurs occupés, vous pouvez augmenter ces valeurs.
Vous pouvez également (si vous ne l’avez pas déjà fait) envisager d’augmenter la taille des journaux Système et Securityevent sur tous vos contrôleurs de domaine (s’ils sont sur Windows Server 2008 ou version ultérieure).
La boîte de dialogue des propriétés du journal comprend un paramètre permettant de contrôler le comportement de la journalisation des événements lorsque la taille maximale du journal est atteinte. La valeur par défaut est d’écraser les événements AsNeeded. Dans un environnement soucieux de la sécurité, vous pouvez définir cette option pour Ne pas écraser les événements (Effacer le journal manuellement). Si vous le définissez et que le journal des événements se remplit avant qu’il ne soit effacé ou que le nombre maximum de jours soit atteint, la journalisation des événements s’arrêtera. Ceci est considéré comme une caractéristique – il est conçu pour empêcher les intrus ou les malfaiteurs de couvrir leurs traces en générant une journalisation supplémentaire des événements et en supprimant ainsi les preuves de leurs mauvaises actions. Cependant, dans le cas du journal de sécurité, si le journal des événements se remplit, le serveur s’arrêtera. Cette option est conçue pour empêcher quelqu’un de remplir le journal des événements, puis de poursuivre des activités qui généreraient normalement des erreurs mais ne seraient pas enregistrées car le fichier était plein.
Si vous devez continuer la journalisation, quelle que soit la taille consommée par les journaux d’événements et leurs archives, sélectionnez Archiver le journal Lorsqu’il est plein (ne pas écraser les événements).
Les tailles des journaux d’événements et les paramètres d’écrasement des journaux d’événements peuvent être configurés manuellement sur une base serveur par serveur, ou ils peuvent être mis à jour à l’aide de la stratégie de groupe. Si vous avez plus dequelques serveurs, l’utilisation de la stratégie de groupe sera moins de travail. Gardez à l’esprit la limitation de taille quiimpacte Windows Server 2003 et les versions antérieures de Windows Server. Si vous essayez d’attribuer de grandes tailles de fichiers journaux sur Windows Server 2003, ce serveur fonctionnera mal et il risque de se bloquer.
Tableau-6: Tailles recommandées pour les journaux d’événements
Event Log SizeApplication 192 MB (196,608 KB)Security 256 MB (262,144 KB)System 192 MB (196,608 KB)
Dans Windows Server 2003, les journaux d’événements ont été stockés dans des fichiers mappés en mémoire, en utilisant memorythat qui n’a pas pu être paginé (c’est-à-dire la mémoire de pool non paginée). Cela a entraîné moins de mémoire disponible pour les applications.
La réécriture du mécanisme d’événements dans Windows Server 2008 n’utilise plus de fichiers mappés en mémoire et ajoute un grand nombre de fonctionnalités (telles que les événements et les notifications) au sous-système de journal des événements.
System Center Operations Manager 2007, discuté plus tôt dans ce tutoriel, a un sous-module appelé Microsoft Audit Collection System (MACS). MACS est conçu pour lire et archiver le contenu du journal des événements de sécurité (et générer des rapports à partir de ces contenus).Lorsque OpsMgr est utilisé, les journaux d’événements de sécurité peuvent généralement être assez petits.