Comment déplacer observateur d'événements fichiers journaux vers un autre emplacement

  • Article

Cet article explique comment déplacer des fichiers journaux Windows Server 2016 et Windows Server 2019 observateur d'événements vers un autre emplacement sur le disque dur.

S’applique à : Windows Server 2016, Windows Server 2019
Numéro de la base de connaissances d’origine : 315417

Résumé

Windows Server enregistre les événements dans les journaux suivants :

  • Journal des applications

    Le journal des applications contient des événements enregistrés par des programmes. Les événements écrits dans le journal des applications sont déterminés par les développeurs du programme logiciel.

  • Journal de sécurité

    Le journal de sécurité contient des événements tels que des tentatives d’ouverture de session valides et non valides. Il contient également des événements liés à l’utilisation des ressources, par exemple lorsque vous créez, ouvrez ou supprimez des fichiers. Vous devez être connecté en tant qu’administrateur ou membre du groupe Administrateurs pour activer, utiliser et spécifier les événements enregistrés dans le journal de sécurité.

  • Journal système

    Le journal système contient des événements enregistrés par les composants système Windows. Ces événements sont prédéterminés par Windows.

  • Journal du service d’annuaire

    Le journal du service d’annuaire contient des événements liés à Active Directory. Ce journal est disponible uniquement sur les contrôleurs de domaine.

  • Journal du serveur DNS

    Le journal du serveur DNS contient des événements liés à la résolution des noms DNS vers ou à partir d’adresses IP (Internet Protocol). Ce journal est disponible uniquement sur les serveurs DNS.

  • Journal du service de réplication de fichiers

    Le journal du service de réplication de fichiers contient des événements enregistrés pendant le processus de réplication entre contrôleurs de domaine. Ce journal est disponible uniquement sur les contrôleurs de domaine.

Par défaut, observateur d'événements fichiers journaux utilisent l’extension .evt et se trouvent dans le dossier %SystemRoot%\System32\winevt\Logs.

Le nom du fichier journal et les informations d’emplacement sont stockées dans le Registre. Vous pouvez modifier ces informations pour modifier l’emplacement par défaut des fichiers journaux. Vous pouvez déplacer les fichiers journaux vers un autre emplacement si vous avez besoin de plus d’espace disque pour journaliser les données.

Créer un dossier de journal des événements à un autre emplacement

Créez un dossier dans lequel vous souhaitez stocker les journaux des événements dans votre lecteur local et attribuer les autorisations appropriées. Voici les étapes à effectuer :

  1. Créez un dossier (par exemple, C :\EventLogs).

  2. Cliquez avec le bouton droit sur le dossier, puis sélectionnez Propriétés.

  3. Sélectionnez l’onglet Sécurité , puis sélectionnez Avancé pour obtenir des autorisations spéciales ou des paramètres avancés.

    Remarque

    L'« héritage » du dossier est activé par défaut.

  4. Sélectionnez Modifier pour remplacer le propriétaire par SYSTÈME, puis sélectionnez Désactiver l’héritage comme suit :

    Capture d’écran de la fenêtre Paramètres de sécurité avancés pour EventLogs.

    Vous serez invité à convertir ou à supprimer les autorisations héritées. Sélectionnez Convertir les autorisations héritées en autorisations explicites sur cet objet, et vous verrez les mêmes autorisations explicitement définies sur le dossier.

    Remarque

    Pour créer des sous-dossiers pour les journaux, case activée l’option Remplacer toutes les entrées d’autorisation d’objet enfant par des entrées d’autorisations pouvant être héritées de cet objet. Les autorisations définies au niveau du parent sont appliquées à tous les sous-dossiers et fichiers.

  5. Ajustez les autorisations afin que le dossier dispose des autorisations appropriées et case activée la colonne S’applique à. Ces autorisations doivent être identiques aux autorisations avancées du dossier par défaut (%SystemRoot%\System32\winevt\Logs) qui stocke les journaux observateur d'événements. Assurez-vous que les utilisateurs authentifiés disposent uniquement de l’autorisation Lecture pour ce dossier et les sous-dossiers.

    Capture d’écran de la fenêtre Paramètres de sécurité avancés pour les journaux.

    Remarque

    Pour ajouter l’utilisateur EventLog , accédez à l’onglet Sécurité de la boîte de dialogue propriétés et procédez comme suit :

    1. Sélectionnez Modifier>Ajouter.
    2. Sélectionnez Emplacements, sélectionnez le nom de l’ordinateur local, puis sélectionnez OK.
    3. Tapez NT SERVICE\EventLog dans Entrez les noms d’objets à sélectionner et sélectionnez Vérifier les noms. Le nom doit être résolu en EventLog. Sélectionnez OK pour terminer.

    Vérifiez que Contrôle total est sélectionné sous Autorisations pour EventLog pour l’utilisateur EventLog .

Déplacer observateur d'événements fichiers journaux vers un autre emplacement

Vous pouvez déplacer les fichiers journaux vers le dossier créé à l’aide de la observateur d'événements comme suit :

  1. Ouvrez le observateur d'événements.

  2. Cliquez avec le bouton droit sur le nom du journal (par exemple, Système) sous Journaux Windows dans le volet gauche, puis sélectionnez Propriétés.

  3. Remplacez la valeur Chemin du journal par l’emplacement du dossier créé et laissez le nom du fichier journal à la fin du chemin d’accès (par exemple, C :\EventLogs\System.evtx).

    Capture d’écran du Fenêtre Propriétés journal avec l’onglet Général ouvert.

  4. Sélectionnez Effacer le journal, puis Enregistrer et Effacer pour conserver les fichiers journaux des événements dans un autre emplacement.

  5. Sélectionnez Appliquer>OK.

    Remarque

    Vérifiez le dossier vers lequel vous avez déplacé les journaux des événements. Si les journaux des événements ne se trouvent pas dans le dossier, redémarrez le système.

Vous pouvez vérifier que le chemin du journal a été mis à jour à l’aide du Registre Rédacteur. Par exemple, accédez au chemin d’accès de Registre suivant et case activée les données Value de la valeur File.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System

Déplacer observateur d'événements fichiers journaux à l’aide de PowerShell

Il est possible d’utiliser PowerShell à cet effet. Dans l’exemple, les journaux des événements de sécurité seront migrés vers C :\Logs :

$originalFolder = "$env:SystemRoot\system32\winevt\Logs"
$targetFolder = "C:\logs"
$logName = "Security"

$originalAcl = Get-Acl -Path $originalFolder -Audit -AllCentralAccessPolicies
Set-Acl -Path $targetFolder -AclObject $originalAcl -ClearCentralAccessPolicy
$targetAcl = Get-Acl -Path $targetFolder -Audit -AllCentralAccessPolicies
$targetAcl.SetOwner([System.Security.Principal.NTAccount]::new("SYSTEM"))

New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "AutoBackupLogFiles" -Value "1" -PropertyType "DWord"
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "Flags" -Value "1" -PropertyType "DWord"
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "File" -Value "$targetFolder\$logName.evtx"

References

Pour plus d’informations sur l’affichage et la gestion des journaux dans le observateur d'événements, consultez Comment supprimer des fichiers journaux de observateur d'événements endommagés. Pour en savoir plus sur l’utilisation générale observateur d'événements, sélectionnez le menu Action dans observateur d'événements, puis sélectionnez Aide.