事件檢視器-內容-複寫
有:
複寫X天
檔案大小
這是預設值,難道你的AD POLICY有問題!?
有幾種可能作法
1.官方:調整系統記錄檔的設定值,循環記錄,調大容量,但若是遠端桌面登入者仍會有記錄已滿之訊息.
http://support.microsoft.com/default.aspx/kb/867860/zh-tw
2.寫一刪除事件記錄檔程式或寫一Runas夠權限刪事件記錄檔的
http://msdn.microsoft.com/zh-tw/library/twdecbsx(VS.80).aspx
http://msdn.microsoft.com/zh-tw/library/d3wah3h5(VS.80).aspx
http://bbs.cnns.net/viewthread.php?action=printable&tid=16141
亦可仿造微軟內建eventquery.vbs作法,於system32內.
cscript eventquery.vbs /?
3.變更事件記錄檔位置至網路磁碟機,統一由管理者當使用者離線時刪除
[HKLM]\system\CurrentControlSet\Services\Eventlog
4.使用"特殊"工具,如elsave,可遠端清除事件檔
http://www.yiii.net/scripts/isapi_srun.dll/app/club/view.jsp?Information_Id=I00013723
PS.事件檢視器的"說明"中很清楚地記載:
"您必須以系統管理員或 Administrators 群組成員的身份登入,以清除事件日誌。"
建議看一下 用戶端電腦的日期時間, 大部份安全性記錄已滿, 如果不是有外人持續嘗試這台電腦, 就是時間錯誤無法登入AD網域.