另外,在事件查看器中可以直接清空日志,对于一个隶属于users的普通用户而言,在事件查看器中,安全日志看都看不了,其余的日志可看,但均不可操作:
对于任何一个日志,都无权进行清空以及属性设置:
将该普通用户添加到event log reader组后,可以查看安全日志了,但对于所有日志仍然不能操作:
如果给该普通用户加上管理审核和安全日志的权限,则仅对于安全日志则具备清除日志的权限,其他权限仍然不具备:
如果给该普通用户加上生成安全审核的权限,则权限方面没啥变化:
5.4. 避免受到未预期的删除、修改或覆盖
从文件权限和事件查看器的权限来看,拥有管理审核和安全日志的权限,则可以在事件查看器中清除安全日志。
而隶属于administrators组的用户,则可以直接删除日志文件,以及在事件查看器中清除任何日志,以及设置日志的存储策略。
至于administrators组在事件查看器中的权限是在哪设置的,我不知道,哪位知道可以告诉我……
因为就算在管理审核和安全日志的权限中移除掉administrators组(该权限默认赋予给administrators组的),administrators组的权限仍然没有变化……
对于日志的存储策略,默认都是如下图所设置:
一是按需要覆盖事件(旧事件优先)。也就是说,当日志文件达到上限时,会把一些旧的日志文件记录删除掉,以存储新的日志信息