日志的重要性已經(jīng)深入人心。但是隨著時間的延長，整個事件日志所占用的空間也在不斷的膨脹之中。為此需要為日志文件設(shè)置一個最大的上限值，防止其占用過多的硬盤空間。這不僅是中浪費，給給閱讀造成了一定的障礙。而且不同的日志文件其重要性也不同。為此系統(tǒng)管理員要根據(jù)日志文件的重要性、硬盤空間、部署的應(yīng)用等情況，來確定每個日志文件的最大上限以及日志覆蓋的原則。在這方面，Windows7比Windows2003有一定的改進。筆者接下去就談?wù)勗赪indows7中如果做好日志文件的限制，著重會談?wù)勂湓谶@方面的一些改進。

　　如上圖，這就是Windows7日志文件的管理界面。在Windows7操作系統(tǒng)中，可以針對每個日志文件來定義上面這些設(shè)置。由于操作系統(tǒng)中的日志文件比較多，而且每個日志文件專門記錄某部分內(nèi)容。為此其重要性、記錄容量等等都是不同的。為此作為系統(tǒng)管理員，就需要了解每個日志文件的內(nèi)容、重要性等等，然后根據(jù)這些情況來確定上面這些控制因素。對于單機操作系統(tǒng)來說，其日志文件往往是保存在系統(tǒng)盤中。所以日志文件不能夠占用太多的空間，否則的話會影響到操作系統(tǒng)的運行性能。

　　一、日志文件的上限設(shè)置。

　　系統(tǒng)管理員可以分別為每個日志文件設(shè)置其最大占用的硬盤空間。設(shè)置的方法很簡單，只需要選擇對應(yīng)的日志文件，然后點擊右鍵，然后選擇屬性，就會彈出上面這個對話框。然后就可以看到一個選項，叫做日志最大大小。在后面的文本框中可以輸入日志文件的最大限制。在設(shè)置這個上限的時候，主要需要注意兩個方面的內(nèi)容。

　　首先，這里輸入的數(shù)字必須是64的倍數(shù)。如上面輸入的20480，其就是64的320倍。如果我們在這里輸入的數(shù)字不是64的倍數(shù)，如輸入為20481，系統(tǒng)就會提示錯誤信息：“日志大小值的增量必須為64KB，并且必須大于零。日志大小將設(shè)置為64KB的最小倍數(shù)”。按確定以后，這個值就會自動更改為最接近這個64倍數(shù)值。如筆者輸入20416然后按確定，這個值就會自動變?yōu)?0416。這個限制條件系統(tǒng)管理員需要引起一定的關(guān)注。

　　其次，日志文件并不是越大越好。雖然說日志文件大的話，可以記錄全部的事件信息。但是，其也會給以后的閱讀帶來麻煩。在大量記錄中查找所需要的內(nèi)容，并不是一件容易的事情。而且日志占用太多的系統(tǒng)盤空間，也會影響操作系統(tǒng)的性能。為此對于這個日志空間的大小，要進行合理的限制。不過這個到底多少合適，也沒有一個統(tǒng)一的標準。往往需要系統(tǒng)管理員根據(jù)自己的經(jīng)驗，并結(jié)合在操作系統(tǒng)上部署的具體應(yīng)用，來確定該把這個日志文件大小設(shè)置為多少合適。不過總的來說，日志空間在系統(tǒng)盤上占用的空間，最好不要超過5%。
　二、日志文件達到限值時的處理方式。

　　在上面這個窗口中，在定義了日志文件的限值后，還需要同時定義如果達到這個限值的話，該如何處理。在Windows7操作系統(tǒng)中這里有三個選項。其選項的種類跟2003操作系統(tǒng)是相同的。但是其在一些選項的設(shè)置上跟2003有所不同。

　　一是按需要覆蓋事件(舊事件優(yōu)先)。也就是說，當(dāng)日志文件達到上限時，會把一些舊的日志文件記錄刪除掉，以存儲新的日志信息。這個選項跟2003操作系統(tǒng)類似。不過這里需要注意的是，如果選擇這個選項的話，那么對于日志空間的大小需要特別的注意。如在Windows7 中有一個防火墻日志，如果系統(tǒng)啟用了防火墻，而且這臺操作系統(tǒng)網(wǎng)絡(luò)通信比較頻繁的話，那么這個日志空間的上限就需要設(shè)置的大一點。否則的話，當(dāng)系統(tǒng)遇到故障時，可能無法查到一些有用的信息，因為這些信息已經(jīng)被覆蓋掉了。

　　二是不覆蓋事件。當(dāng)日志文件達到上限值之后，系統(tǒng)不會繼續(xù)記錄新的事件信息。需要系統(tǒng)管理員手工清楚日志文件后，系統(tǒng)才會記錄記錄日志信息。顯然這不是很好的處理方式。除非有特殊的需要，最好不要選擇這個選項。

　　三是日志滿時將其存檔，不覆蓋事件。這個選項是2003操作系統(tǒng)中沒有的，在Windows7操作系統(tǒng)中新增加的選項。筆者個人認為，這個選項非常實用。對于一些穩(wěn)定性要求比較高檔服務(wù)器，對一年甚至更長時間的日志進行存檔是必須的。如一些文件訪問的審核日志等等。如果選擇了這個選項，那么到日志文件的大小達到上限時，操作系統(tǒng)不會覆蓋原有的日志記錄。而是先把舊的日志記錄進行存檔，然后再利用新的日志信息來覆蓋舊的日志信息。此時如果系統(tǒng)管理員需要查看比較舊的日志信息，如去年這個時候的日志，那么就可以去查看相關(guān)的歸檔文件，這確實是Windows7種一個很有吸引力的改進。

　　不過Windos7種刪除了2003操作系統(tǒng)中的某個選項，即“覆蓋事件超過多少天的事件”。如我們可以把這個事件設(shè)置為30。則當(dāng)日志文件滿了時，系統(tǒng)會自動把30天以前的記錄空間釋放出來，以方便存儲新的記錄信息。其實這個選項雖然有一些不足的地方，如當(dāng)日志空間滿了時但是還沒有達到這個天數(shù)的日志信息，此時該如何處理?不過在某些應(yīng)用場合，這個選項還是比較有用的。如在一臺專門的日志服務(wù)器中記錄日志文件的話，此時由于日志文件的空間大小不怎么受限制(至少沒有在本機上保存日志文件那么多的限制)，為此這個選項就非常的有用。其在限制最大空間的同時，可以保障日志信息能夠保留一段時間，如最少30天等等。筆者想不通，為什么微軟操作系統(tǒng)的專家會把這個選項去除掉。
三、部署完操作系統(tǒng)后要及時的清空日志。

　　有時候，給用戶部署好操作系統(tǒng)后，如果有必要的話，最好手工把日志文件清空掉。右鍵點擊相關(guān)日志，然后選擇屬性。在打開對話框中，有一個“清除日志”的按鈕。系統(tǒng)管理員只需要點一下這個按鈕，系統(tǒng)就會自動清除相關(guān)的日志文件。

　　這主要是因為在部署完操作系統(tǒng)后，由于測試等需要，會在短時間內(nèi)產(chǎn)生比較多的日志記錄。而且這些日志信息也不能夠反映企業(yè)應(yīng)用的實際情況。如果把它們放在那邊的話，反而會給以后的工作帶來誤導(dǎo)。為此，筆者認為比較理想的方法就是，系統(tǒng)管理員先對這些日志文件進行備份。然后再清空日志文件。當(dāng)把這個操作系統(tǒng)交給企業(yè)用戶使用的時候，就是一個比較干凈的部署好相關(guān)應(yīng)用的操作系統(tǒng)。那么以后需要閱讀相關(guān)日志的時候，由于原先的測試時的一些事件日志沒有在日志中體現(xiàn)出來，這對于系統(tǒng)管理員閱讀日志、解決系統(tǒng)與服務(wù)故障是非常有幫助的。

　　最后，系統(tǒng)管理員需要注意Windows7與2003在日志覆蓋上的一個不同。筆者認為，如果企業(yè)部署Windows7操作系統(tǒng)的話，可以選擇“日志滿時歸檔，不覆蓋日志”這個選項。這個選項相比其他選項來說，日志文件相對完整一些。而且在閱讀的時候，其保存的也是最新的日志信息，故也不會帶來多到的閱讀障礙。而且還可以查看歸檔日志來獲得以前的一些日志信息。

最新評論