日志的重要性已經深入人心。但是隨著時間的延長,整個事件日志所占用的空間也在不斷的膨脹之中。為此需要為日志文件設置一個最大的上限值,防止其占用過多的硬盤空間。這不僅是中浪費,給給閱讀造成了一定的障礙。而且不同的日志文件其重要性也不同。為此系統管理員要根據日志文件的重要性、硬盤空間、部署的應用等情況,來確定每個日志文件的最大上限以及日志覆蓋的原則。在這方面,Windows7比Windows2003有一定的改進。筆者接下去就談談在Windows7中如果做好日志文件的限制,著重會談談其在這方面的一些改進。
如上圖,這就是Windows7日志文件的管理界面。在Windows7操作系統中,可以針對每個日志文件來定義上面這些設置。由於操作系統中的日志文件比較多,而且每個日志文件專門記錄某部分內容。為此其重要性、記錄容量等等都是不同的。為此作為系統管理員,就需要了解每個日志文件的內容、重要性等等,然後根據這些情況來確定上面這些控制因素。對於單機操作系統來說,其日志文件往往是保存在系統盤中。所以日志文件不能夠占用太多的空間,否則的話會影響到操作系統的運行性能。
一、日志文件的上限設置。
系統管理員可以分別為每個日志文件設置其最大占用的硬盤空間。設置的方法很簡單,只需要選擇對應的日志文件,然後點擊右鍵,然後選擇屬性,就會彈出上面這個對話框。然後就可以看到一個選項,叫做日志最大大小。在後面的文本框中可以輸入日志文件的最大限制。在設置這個上限的時候,主要需要注意兩個方面的內容。
首先,這裡輸入的數字必須是64的倍數。如上面輸入的20480,其就是64的320倍。如果我們在這裡輸入的數字不是64的倍數,如輸入為20481,系統就會提示錯誤信息:“日志大小值的增量必須為64KB,並且必須大於零。日志大小將設置為64KB的最小倍數”。按確定以後,這個值就會自動更改為最接近這個64倍數值。如筆者輸入20416然後按確定,這個值就會自動變為20416。這個限制條件系統管理員需要引起一定的關注。
其次,日志文件並不是越大越好。雖然說日志文件大的話,可以記錄全部的事件信息。但是,其也會給以後的閱讀帶來麻煩。在大量記錄中查找所需要的內容,並不是一件容易的事情。而且日志占用太多的系統盤空間,也會影響操作系統的性能。為此對於這個日志空間的大小,要進行合理的限制。不過這個到底多少合適,也沒有一個統一的標准。往往需要系統管理員根據自己的經驗,並結合在操作系統上部署的具體應用,來確定該把這個日志文件大小設置為多少合適。不過總的來說,日志空間在系統盤上占用的空間,最好不要超過5%。
二、日志文件達到限值時的處理方式。
在上面這個窗口中,在定義了日志文件的限值後,還需要同時定義如果達到這個限值的話,該如何處理。在Windows7操作系統中這裡有三個選項。其選項的種類跟2003操作系統是相同的。但是其在一些選項的設置上跟2003有所不同。
一是按需要覆蓋事件(舊事件優先)。也就是說,當日志文件達到上限時,會把一些舊的日志文件記錄刪除掉,以存儲新的日志信息。這個選項跟2003操作系統類似。不過這裡需要注意的是,如果選擇這個選項的話,那麼對於日志空間的大小需要特別的注意。如在Windows7 中有一個防火牆日志,如果系統啟用了防火牆,而且這台操作系統網絡通信比較頻繁的話,那麼這個日志空間的上限就需要設置的大一點。否則的話,當系統遇到故障時,可能無法查到一些有用的信息,因為這些信息已經被覆蓋掉了。
二是不覆蓋事件。當日志文件達到上限值之後,系統不會繼續記錄新的事件信息。需要系統管理員手工清楚日志文件後,系統才會記錄記錄日志信息。顯然這不是很好的處理方式。除非有特殊的需要,最好不要選擇這個選項。
三是日志滿時將其存檔,不覆蓋事件。這個選項是2003操作系統中沒有的,在Windows7操作系統中新增加的選項。筆者個人認為,這個選項非常實用。對於一些穩定性要求比較高檔服務器,對一年甚至更長時間的日志進行存檔是必須的。如一些文件訪問的審核日志等等。如果選擇了這個選項,那麼到日志文件的大小達到上限時,操作系統不會覆蓋原有的日志記錄。而是先把舊的日志記錄進行存檔,然後再利用新的日志信息來覆蓋舊的日志信息。此時如果系統管理員需要查看比較舊的日志信息,如去年這個時候的日志,那麼就可以去查看相關的歸檔文件,這確實是Windows7種一個很有吸引力的改進。
不過WinDOS7種刪除了2003操作系統中的某個選項,即“覆蓋事件超過多少天的事件”。如我們可以把這個事件設置為30。則當日志文件滿了時,系統會自動把30天以前的記錄空間釋放出來,以方便存儲新的記錄信息。其實這個選項雖然有一些不足的地方,如當日志空間滿了時但是還沒有達到這個天數的日志信息,此時該如何處理?不過在某些應用場合,這個選項還是比較有用的。如在一台專門的日志服務器中記錄日志文件的話,此時由於日志文件的空間大小不怎麼受限制(至少沒有在本機上保存日志文件那麼多的限制),為此這個選項就非常的有用。其在限制最大空間的同時,可以保障日志信息能夠保留一段時間,如最少30天等等。筆者想不通,為什麼微軟操作系統的專家會把這個選項去除掉。
三、部署完操作系統後要及時的清空日志。
有時候,給用戶部署好操作系統後,如果有必要的話,最好手工把日志文件清空掉。右鍵點擊相關日志,然後選擇屬性。在打開對話框中,有一個“清除日志”的按鈕。系統管理員只需要點一下這個按鈕,系統就會自動清除相關的日志文件。
這主要是因為在部署完操作系統後,由於測試等需要,會在短時間內產生比較多的日志記錄。而且這些日志信息也不能夠反映企業應用的實際情況。如果把它們放在那邊的話,反而會給以後的工作帶來誤導。為此,筆者認為比較理想的方法就是,系統管理員先對這些日志文件進行備份。然後再清空日志文件。當把這個操作系統交給企業用戶使用的時候,就是一個比較干淨的部署好相關應用的操作系統。那麼以後需要閱讀相關日志的時候,由於原先的測試時的一些事件日志沒有在日志中體現出來,這對於系統管理員閱讀日志、解決系統與服務故障是非常有幫助的。
最後,系統管理員需要注意Windows7與2003在日志覆蓋上的一個不同。筆者認為,如果企業部署Windows7操作系統的話,可以選擇“日志滿時歸檔,不覆蓋日志”這個選項。這個選項相比其他選項來說,日志文件相對完整一些。而且在閱讀的時候,其保存的也是最新的日志信息,故也不會帶來多到的閱讀障礙。而且還可以查看歸檔日志來獲得以前的一些日志信息。