Modifier la taille des journaux d’événements
Depuis l’observateur d’événement, il est possible de modifier les propriétés du journal :
Parmi les éléments modifiables il y a la taille maximale du fichier du journal :
Par défaut lorsque le journal a atteint sa taille maximale les éléments les plus anciens sont remplacés. Si vous souhaitez pouvoir retrouver les événements antérieurs, il vous est possible d’activer l’archivage du journal, mais attention à l’espace disque. Dans ce cas l’archive comme le journal se trouve par défaut dans le dossier : « C:\Windows\System32\winevt\Logs ».
.
Si vous souhaitez déplacer les journaux de sécurité vers une autre partition, il suffit de changer les chemins. Un nouveau fichier sera recréé dans le nouvel emplacement le journal actuel n’est pas copié.
Vous pouvez consulter le lien suivant si vous souhaitez plus de détail : https://technet.microsoft.com/fr-fr/library/cc766178.aspx
Centraliser les événements avec des abonnements
Il est possible de collecter certains événements depuis un ensemble de serveurs ou ordinateurs dans un journal central afin de faciliter l’analyse. Il faudra utiliser la commande PowerShell « Get-WinEvent » pour interroger le journal. Si vous souhaitez plus d’éléments sur l’utilisation d’abonnements vous pouvez consulter l’article Technet suivant :
