Windows7日志的上限及覆盖原则解析

核心提示： 二是不覆盖事件，当日志文件达到上限值之后，Windows7日志的上限及覆盖原则解析(3)，系统不会继续记录新的事件信息，需要系统管理员手工清楚日志文件后，其保存的也是最新的日志信息，故也不会带来多到的阅读障碍，系统才会记录记录日志信息，显然这不是很好的处理方式

二是不覆盖事件。当日志文件达到上限值之后，系统不会继续记录新的事件信息。需要系统管理员手工清楚日志文件后，系统才会记录记录日志信息。显然这不是很好的处理方式。除非有特殊的需要，最好不要选择这个选项。

三是日志满时将其存档，不覆盖事件。这个选项是2003操作系统中没有的，在Windows7操作系统中新增加的选项。笔者个人认为，这个选项非常实用。对于一些稳定性要求比较高档服务器，对一年甚至更长时间的日志进行存档是必须的。如一些文件访问的审核日志等等。如果选择了这个选项，那么到日志文件的大小达到上限时，操作系统不会覆盖原有的日志记录。而是先把旧的日志记录进行存档，然后再利用新的日志信息来覆盖旧的日志信息。此时如果系统管理员需要查看比较旧的日志信息，如去年这个时候的日志，那么就可以去查看相关的归档文件，这确实是Windows7种一个很有吸引力的改进。

不过Windos7种删除了2003操作系统中的某个选项，即“覆盖事件超过多少天的事件”。如我们可以把这个事件设置为30。则当日志文件满了时，系统会自动把30天以前的记录空间释放出来，以方便存储新的记录信息。其实这个选项虽然有一些不足的地方，如当日志空间满了时但是还没有达到这个天数的日志信息，此时该如何处理?不过在某些应用场合，这个选项还是比较有用的。如在一台专门的日志服务器中记录日志文件的话，此时由于日志文件的空间大小不怎么受限制(至少没有在本机上保存日志文件那么多的限制)，为此这个选项就非常的有用。其在限制最大空间的同时，可以保障日志信息能够保留一段时间，如最少30天等等。笔者想不通，为什么微软操作系统的专家会把这个选项去除掉。

三、部署完操作系统后要及时的清空日志。

有时候，给用户部署好操作系统后，如果有必要的话，最好手工把日志文件清空掉。右键点击相关日志，然后选择属性。在打开对话框中，有一个“清除日志”的按钮。系统管理员只需要点一下这个按钮，系统就会自动清除相关的日志文件。

这主要是因为在部署完操作系统后，由于测试等需要，会在短时间内产生比较多的日志记录。而且这些日志信息也不能够反映企业应用的实际情况。如果把它们放在那边的话，反而会给以后的工作带来误导。为此，笔者认为比较理想的方法就是，系统管理员先对这些日志文件进行备份。然后再清空日志文件。当把这个操作系统交给企业用户使用的时候，就是一个比较干净的部署好相关应用的操作系统。那么以后需要阅读相关日志的时候，由于原先的测试时的一些事件日志没有在日志中体现出来，这对于系统管理员阅读日志、解决系统与服务故障是非常有帮助的。

最后，系统管理员需要注意Windows7与2003在日志覆盖上的一个不同。笔者认为，如果企业部署Windows7操作系统的话，可以选择“日志满时归档，不覆盖日志”这个选项。这个选项相比其他选项来说，日志文件相对完整一些。而且在阅读的时候，其保存的也是最新的日志信息，故也不会带来多到的阅读障碍。而且还可以查看归档日志来获得以前的一些日志信息。