October 30, 2010

Autoarchivado y retención de bitácoras.

Una de las cosas que más me gusta de Windows Server 2008 es el visor de sucesos, vaya que mejora ha sido!
Vamos a explorar el siguiente escenario, necesito almacenar todas las bitácoras de seguridad por 45 días, desde luego el proceso de recolección y eliminación debe de ser automatizados para que el esfuerzo de nuestra parte sea mínimo.
Entonces manos a la obra, vamos a ajustar un poco la configuración de los eventos de seguridad “WEvtUtil SL Security /RT:true /AB:true /MS:52428800 /LFN:D:\eventViewer-depo\Security.evtx”
Con esto estoy activando la retención por medio del archivado automático y estableciendo un límite de 50MBs por archivo de bitácoras (formato EVTX). Dichos archivos serán almacenados en la ruta y archivo que indique (D:\eventViewer-Depo\Security.evtx) [La ruta por defecto es %windir%\System32\wbem\Logs]
Listo, ahora si revisamos nuestra ruta de almacenaje deberíamos de encontrar unos archivos llamados Archive-Security*.EVTX y otros más. Para manejar esto de forma automática podríamos salvar las siguientes líneas en un archivo tipo BAT e invocarla con una tarea programada diaria.

@echo off
REM ### ~ daemonRoot@sysadmin-cr.com ###
REM ### Inicia búsqueda de archivos mayores a los 45 días ###
forfiles /P D:\eventViewer-Depo /S /M * /D -45 /C "cmd /c echo @path" > D:\eventViewer-Depo\toDelete.log
REM ### Se remueven los archivos encontrados con el criterio anterior ###
for /f %%a in (D:\eventViewer-Depo\toDelete.log) do del /Q %%a
REM ### Se procede a enviar un reporte por correo electrónico sobre el purgado, el cual nos indica los archivos eliminados y la ejecución exitosa de la tarea ###
sendEmail.exe -f monitoring@sysadmin-cr.com -t server-support@sysadmin-cr.com -u REPORTE: Purgado de archivos de evento -m El archivo adjunto contiene la lista de bitácoras eliminadas como parte del proceso de retención y limpieza –a D:\eventViewer-Depo\toDelete.log -s smtp.sysadmin-cr.com
REM ### Se borra el archivo con la lista de ítems eliminados ###
del /q D:\eventViewer-Depo toDelete.log
REM ### Tarea completa ###

Que diferente era hacer esto con Windows Server 2003… que lindo como evoluciona la tecnología!
Gracias por su tiempo.

No comments:

Post a Comment