Ereignisse werden in einer Protokolldatei gespeichert, die nur bis zu einer konfigurierbaren Maximalgröße wachsen kann. Sobald die Datei die Maximalgröße erreicht hat, wird das weitere Vorgehen für eingehende Ereignisse von der Beibehaltungsrichtlinie bestimmt. Es stehen folgende Protokollbeibehaltungsrichtlinien zur Verfügung:
| Beibehaltungsrichtlinie | Beschreibung |
|---|---|
|
Ereignisse nach Bedarf überschreiben |
Neue Ereignisse werden auch dann gespeichert, wenn das Protokoll voll ist. Jeder neue Eintrag überschreibt den jeweils ältesten Eintrag im Protokoll. |
|
Volles Protokoll archivieren, Ereignisse nicht überschreiben |
Das Protokoll wird automatisch archiviert, sobald dies nötig wird. Es werden keine Ereignisse überschrieben. |
|
Ereignisse nie überschreiben (Protokoll manuell aufräumen) |
Das Protokoll wird manuell statt automatisch geleert. |
Sie können die Beibehaltungsrichtlinie über die Windows-Oberfläche oder das Befehlszeilenprogramm Wevtutil festlegen.
 | So legen Sie die Protokollbeibehaltungsrichtlinie über die Windows-Benutzeroberfläche fest |
Starten Sie die Ereignisanzeige.
Wählen Sie in der Konsolenstruktur das gewünschte Ereignisprotokoll aus.
Klicken Sie im Menü Aktion auf Eigenschaften.
Aktivieren Sie im Abschnitt Protokollierung aktivieren der Registerkarte Allgemein die Option für die gewünschte Beibehaltungsrichtlinie.
Klicken Sie auf OK.
| So legen Sie die Beibehaltungsrichtlinie an der Befehlszeile fest |
Klicken Sie zum Öffnen einer Eingabeaufforderung auf Start, klicken Sie auf Ausführen, geben Sie cmd ein, und klicken Sie auf OK.
Geben Sie den folgenden Befehl ein:
wevtutil sl <LogName> /r:{true | false} /ab:{true | false}
Der Parameter 'r' gibt an, ob das Protokoll beibehalten werden soll, während der Parameter 'ab' angibt, ob das Protokoll automatisch gesichert werden soll. Die folgende Liste enthält die Parameterwerte des Befehlszeilenprogramms Wevtutil, die den einzelnen Beibehaltungsrichtlinien oben entsprechen.
-
Ereignisse bei Bedarf überschreiben: r = false, ab = false
-
Volles Protokoll archivieren, Ereignisse nicht überschreiben: r = true, ab = true
-
Ereignisse nicht überschreiben. (Protokoll manuell aufräumen.): r = true, ab = false
Zum Anzeigen der vollständigen Syntax für diesen Befehl geben Sie an der Eingabeaufforderung Folgendes ein:
wevtutil sl -?
Weitere Überlegungen
-
Sie müssen als Mitglied der Administratorengruppe angemeldet sein, um die Protokollbeibehaltungsrichtlinie festlegen zu können.