淺談Windows7日誌的上限及覆蓋原則

日誌的重要性已經深入人心。但是隨着時間的延長，整個事件日誌所佔用的空間也在不斷的膨脹之中。爲此需要爲日誌文件設置一個最大的上限值，防止其佔用過多的硬盤空間。這不僅是中浪費，給給閱讀造成了一定的障礙。而且不同的日誌文件其重要性也不同。爲此係統管理員要根據日誌文件的重要性、硬盤空間、部署的應用等情況，來確定每個日誌文件的最大上限以及日誌覆蓋的原則。在這方面，Windows7比Windows2003有一定的改進。筆者接下去就談談在Windows7中如果做好日誌文件的限制，着重會談談其在這方面的一些改進。

如上圖，這就是Windows7日誌文件的管理界面。在Windows7操作系統中，可以針對每個日誌文件來定義上面這些設置。由於操作系統中的日誌文件比較多，而且每個日誌文件專門記錄某部分內容。爲此其重要性、記錄容量等等都是不同的。爲此作爲系統管理員，就需要了解每個日誌文件的內容、重要性等等，然後根據這些情況來確定上面這些控制因素。對於單機操作系統來說，其日誌文件往往是保存在系統盤中。所以日誌文件不能夠佔用太多的空間，否則的話會影響到操作系統的運行性能。

　　一、日誌文件的上限設置。

系統管理員可以分別爲每個日誌文件設置其最大佔用的硬盤空間。設置的方法很簡單，只需要選擇對應的日誌文件，然後點擊右鍵，然後選擇屬性，就會彈出上面這個對話框。然後就可以看到一個選項，叫做日誌最大大小。在後面的文本框中可以輸入日誌文件的最大限制。在設置這個上限的時候，主要需要注意兩個方面的內容。

首先，這裏輸入的數字必須是64的倍數。如上面輸入的20480，其就是64的320倍。如果我們在這裏輸入的數字不是64的倍數，如輸入爲20481，系統就會提示錯誤信息：“日誌大小值的增量必須爲64KB，並且必須大於零。日誌大小將設置爲64KB的最小倍數”。按確定以後，這個值就會自動更改爲最接近這個64倍數值。如筆者輸入20416然後按確定，這個值就會自動變爲20416。這個限制條件系統管理員需要引起一定的關注。

其次，日誌文件並不是越大越好。雖然說日誌文件大的話，可以記錄全部的事件信息。但是，其也會給以後的閱讀帶來麻煩。在大量記錄中查找所需要的內容，並不是一件容易的事情。而且日誌佔用太多的系統盤空間，也會影響操作系統的性能。爲此對於這個日誌空間的大小，要進行合理的限制。不過這個到底多少合適，也沒有一個統一的標準。往往需要系統管理員根據自己的經驗，並結合在操作系統上部署的具體應用，來確定該把這個日誌文件大小設置爲多少合適。不過總的來說，日誌空間在系統盤上佔用的空間，最好不要超過5%。

　　二、日誌文件達到限值時的處理方式。

在上面這個窗口中，在定義了日誌文件的限值後，還需要同時定義如果達到這個限值的話，該如何處理。在Windows7操作系統中這裏有三個選項。其選項的種類跟2003操作系統是相同的。但是其在一些選項的設置上跟2003有所不同。

一是按需要覆蓋事件(舊事件優先)。也就是說，當日志文件達到上限時，會把一些舊的日誌文件記錄刪除掉，以存儲新的日誌信息。這個選項跟2003操作系統類似。不過這裏需要注意的是，如果選擇這個選項的話，那麼對於日誌空間的大小需要特別的注意。如在Windows7 中有一個防火牆日誌，如果系統啓用了防火牆，而且這臺操作系統網絡通信比較頻繁的話，那麼這個日誌空間的上限就需要設置的大一點。否則的話，當系統遇到故障時，可能無法查到一些有用的信息，因爲這些信息已經被覆蓋掉了。

二是不覆蓋事件。當日志文件達到上限值之後，系統不會繼續記錄新的事件信息。需要系統管理員手工清楚日誌文件後，系統纔會記錄記錄日誌信息。顯然這不是很好的處理方式。除非有特殊的需要，最好不要選擇這個選項。

三是日誌滿時將其存檔，不覆蓋事件。這個選項是2003操作系統中沒有的，在Windows7操作系統中新增加的選項。筆者個人認爲，這個選項非常實用。對於一些穩定性要求比較高檔服務器，對一年甚至更長時間的日誌進行存檔是必須的。如一些文件訪問的審覈日誌等等。如果選擇了這個選項，那麼到日誌文件的大小達到上限時，操作系統不會覆蓋原有的日誌記錄。而是先把舊的日誌記錄進行存檔，然後再利用新的日誌信息來覆蓋舊的日誌信息。此時如果系統管理員需要查看比較舊的日誌信息，如去年這個時候的日誌，那麼就可以去查看相關的歸檔文件，這確實是Windows7種一個很有吸引力的改進。

不過Windos7種刪除了2003操作系統中的某個選項，即“覆蓋事件超過多少天的事件”。如我們可以把這個事件設置爲30。則當日志文件滿了時，系統會自動把30天以前的記錄空間釋放出來，以方便存儲新的記錄信息。其實這個選項雖然有一些不足的地方，如當日志空間滿了時但是還沒有達到這個天數的日誌信息，此時該如何處理?不過在某些應用場合，這個選項還是比較有用的'。如在一臺專門的日誌服務器中記錄日誌文件的話，此時由於日誌文件的空間大小不怎麼受限制(至少沒有在本機上保存日誌文件那麼多的限制)，爲此這個選項就非常的有用。其在限制最大空間的同時，可以保障日誌信息能夠保留一段時間，如最少30天等等。筆者想不通，爲什麼微軟操作系統的專家會把這個選項去除掉。

　　三、部署完操作系統後要及時的清空日誌。

有時候，給用戶部署好操作系統後，如果有必要的話，最好手工把日誌文件清空掉。右鍵點擊相關日誌，然後選擇屬性。在打開對話框中，有一個“清除日誌”的按鈕。系統管理員只需要點一下這個按鈕，系統就會自動清除相關的日誌文件。

這主要是因爲在部署完操作系統後，由於測試等需要，會在短時間內產生比較多的日誌記錄。而且這些日誌信息也不能夠反映企業應用的實際情況。如果把它們放在那邊的話，反而會給以後的工作帶來誤導。爲此，筆者認爲比較理想的方法就是，系統管理員先對這些日誌文件進行備份。然後再清空日誌文件。當把這個操作系統交給企業用戶使用的時候，就是一個比較乾淨的部署好相關應用的操作系統。那麼以後需要閱讀相關日誌的時候，由於原先的測試時的一些事件日誌沒有在日誌中體現出來，這對於系統管理員閱讀日誌、解決系統與服務故障是非常有幫助的。

最後，系統管理員需要注意Windows7與2003在日誌覆蓋上的一個不同。筆者認爲，如果企業部署Windows7操作系統的話，可以選擇“日誌滿時歸檔，不覆蓋日誌”這個選項。這個選項相比其他選項來說，日誌文件相對完整一些。而且在閱讀的時候，其保存的也是最新的日誌信息，故也不會帶來多到的閱讀障礙。而且還可以查看歸檔日誌來獲得以前的一些日誌信息。