Augmenter la taille des journaux Windows et Applications
Published on 31 Jan 2020Clap
Journaux Windows et journaux applications
Chaque version de Windows dispose de journaux d’événements intégrés, aussi appelés event logs. Ils sont indispensables pour identifier un problème ou auditer les applications. Ils ont accessibles depuis l’observateur d’événements (eventvwr.msc).
Les journaux d’évènements Windows :
Les journaux d’évènements Applications. Ces journaux dépendent des applications/rôles installés :
Chauqe journal d’événements (log) est configuré avec une taille maximale (par) exemple, la taille par défaut du journaly Sécurité est de 20 Mo). Une fois la taille atteinte, les plus vieux événements sont supprimés, ce qui rend le debug très difficile !
Vous pouvez configurer les paramètres avec un clic-droit > Propriétés ou via GPO (plus d’information sur ce point dans la suite de l’article) :
- Taille maximum (KB) : valeur entre 1024 (1Mo) et 4194240 (4Go). Cela doit obligatoirement être un multiple de 64Ko
- Rétention :
- Remplacer événements si nécessaire : paramètre par défaut. Les anciens événements seront écrasés pas les plus récents
- Archiver le journal lorsqu’il est plein : les anciens journaux seront archivés dans les même dossier que l’actuel. Par défaut le chemin est %SystemRoot%\System32\Winevt\Logs
- Ne pas remplacer les événements : comme indiqué, ne JAMAIS écraser les événements. Si la taille maximum est atteinte, aucun nouvel événement ne serai écrit/généré… c’est donc un paramètre à utiliser avec prudence
Paramètres de journalisation dans le registre
Ces paramètres sont situés dans le registre dans HKLM\SYSTEM\CurrentControlSet\Services\EventLog > ApplicationLogName
De nombreux journaux existent (liste complète sur le site de Microsoft). Les paramètres les plus utiles sont mentionnés dans ce tableau :
Name | Type | Value |
MaxSize | DWORD | Doit être entre 1024 (1Mo) et 4194240 (4Go). Doit être un multiple de 64Ko Toute valeur non conforme dans le registre réinitialisera le paramètre à la valeur de journal par défaut |
AutoBackupFiles | DWORD | 0: non 1: Archiver le journal lorsqu’il est plein |
You can set a lot of settings (full list on [Microsoft site](https://docs.microsoft.com/en-us/windows/win32/eventlog/eventlog-key)). The useful settings are in the table below.
Configurer les journaux Windows via GPO
Les GPO peuvent être utilisés pour gérer ces paramètres dans Computer Configuration/Administrative Templates/Windows Components/Event log Service
… Mais attends, où sont les journaux applications ? » Continue la lecture :).
Configurer les journaux Windows avec les Group Policy Prefernces
Les journaux des applications peuvent également être configurés, mais vous devez modifier le registre avec les préférences de stratégie de groupe (Group Policy Preferences).
Pour configurer les Group Policy Preferences,Computer Configuration/Preferences/Windows Settings/Registry
Dans l’exemple ci-dessous, je souhaite augmenter la valeur des journaux Directory Service logs et archiver les anciens journaux dans le cas où j’en aurais besoin (ces journaux peuvent être utiles pour auditer les applications LDAP qui sont non signées).
Note : garder à l’esprit que l’exemple présenté ne supprime PAS les journaux, donc le disque peut être rempli en quelques jours(selon les journaux). Une fois que vous avez terminé avec les journaux, il faut revenir en arrière sur ces paramètres ou bien désactiver/supprimer la GPO.
- Action: Update
- Hive: HKEY\LOCAL\MACHINE
- Key Path: SYSTEM\CurrentControlSet\Services\EventLog\Directory Service
- Value name: MaxSize
- Value type: REG\DWORD
- Value Data: 3E800000 hexadecimal (=1048576000 = 1Gb)
![](../../uploads/2020/01/image-10.png)- Action: **Update** - Hive: **HKEY\LOCAL\MACHINE** - Key Path: **SYSTEM\CurrentControlSet\Services\EventLog\Directory Service** - Value name: **AutoBackupLogFiles** - Value type: **REG\DWORD** - Value Data: **1**
Attendre le rafraîchissement GPO (5 minutes pour les contrôleurs de domaine, environ 30 minutes pour les autres) ou exécuter gpupdate.
Voici les résultats dans les propriétés après application de la GPO :
![](../../uploads/2020/01/image-13.png)
Clap
Comments