Augmenter la taille des journaux Windows et Applications

Journaux Windows et journaux applications

Chaque version de Windows dispose de journaux d’événements intégrés, aussi appelés event logs. Ils sont indispensables pour identifier un problème ou auditer les applications. Ils ont accessibles depuis l’observateur d’événements (eventvwr.msc).

Les journaux d’évènements Windows :

obeservateur evenements-journaux-windows

Les journaux d’évènements Applications. Ces journaux dépendent des applications/rôles installés :

observateur-evenements-applications

Chauqe journal d’événements (log) est configuré avec une taille maximale (âr exemple, la taille par défaut du journaly Sécurité est de 20 Mo). Une fois la taille atteinte, les plus vieux événements sont supprimés, ce qui rend le debug très difficile !

Vous pouvez configurer les paramètres avec un clic-droit > Propriétés ou via GPO (plus d’information sur ce point dans la suite de l’article) :

  • Taille maximum (KB) : valeur entre 1024 (1Mo) et 4194240 (4Go). Cela doit obligatoirement être un multiple de 64Ko
  • Rétention :
    • Remplacer événements si nécessaire : paramètre par défaut. Les anciens événements seront écrasés pas les plus récents
    • Archiver le journal lorsqu’il est plein : les anciens journaux seront archivés dans les même dossier que l’actuel. Par défaut le chemin est %SystemRoot%\System32\Winevt\Logs
    • Ne pas remplacer les événements : comme indiqué, ne JAMAIS écraser les événements. Si la taille maximum est atteinte, aucun nouvel événement ne serai écrit/généré… c’est donc un paramètre à utiliser avec prudence

Paramètres de journalisation dans le registre

Ces paramètres sont situés dans le registre dans HKLM\SYSTEM\CurrentControlSet\Services\EventLog\<ApplicationLogName>

De nombreux journaux existent (liste complète sue le site list on site de Microsoft). Les paramètres les plus utiles sont mentionnés dans ce tableau :

NameTypeValue
MaxSizeDWORDDoit être entre 1024 (1Mo) et 4194240 (4Go).
Doit être un multiple de 64Ko
Toute valeur non conforme dans le registre réinitialisera le paramètre à la valeur de journal par défaut
AutoBackupFilesDWORD0: non
1: Archiver le journal lorsqu’il est plein

You can set a lot of settings (full list on Microsoft site). The useful settings are in the table below.

Configurer les journaux Windows via GPO

Les GPO peuvent être utilisés pour gérer ces paramètres dans Computer Configuration/Administrative Templates/Windows Components/Event log Service

…”Mais attends, où sont les journaux applications ?” Continue la lecture :).

Configurer les journaux Windows avec les Group Policy Prefernces

Les journaux des applications peuvent également être configurés, mais vous devez modifier le registre avec les préférences de stratégie de groupe (Group Policy Preferences).

Pour configurer les Group Policy Preferences,Computer Configuration/Preferences/Windows Settings/Registry

Dans l’exemple ci-dessous, je souhaite augmenter la valeur des journaux Directory Service logs et archiver les anciens journaux dans le cas où j’en aurais besoin (ces journaux peuvent être utiles pour auditer les applications LDAP qui sont non signées).

Note : garder à l’sperit que l’exemple préente ne supprime PAS les journaux, donc le disque peut être rempli en quelques jours(selon les journaux). Une fois que vous avez terminé avec les journaux, il faut revenir en arrière sur ces paramètres ou bien désactiver/supprimer la GPO.

L’attribut alt de cette image est vide, son nom de fichier est image-11.png.
  • Action: Update
  • Hive: HKEY_LOCAL_MACHINE
  • Key Path: SYSTEM\CurrentControlSet\Services\EventLog\Directory Service
  • Value name: MaxSize
  • Value type: REG_DWORD
  • Value Data: 3E800000 hexadecimal (=1048576000 = 1Gb)
  • Action: Update
  • Hive: HKEY_LOCAL_MACHINE
  • Key Path: SYSTEM\CurrentControlSet\Services\EventLog\Directory Service
  • Value name: AutoBackupLogFiles
  • Value type: REG_DWORD
  • Value Data: 1

Attendre le rafraîchissement GPO (5 minutes pour les contrôleurs de domaine, 30 minutes pour les autres) ou exécuter gpupdate.

Voici les résultats dans les propriétés après application de la GPO :

Leave a Reply

four × 4 =

Close Menu