Come spostare Visualizzatore eventi file di log in un altro percorso

  • Articolo

Questo articolo descrive come spostare i file di log di Windows Server 2016 e Windows Server 2019 Visualizzatore eventi in un'altra posizione del disco rigido.

Si applica a: Windows Server 2016, Windows Server 2019
Numero KB originale: 315417

Riepilogo

Windows Server registra gli eventi nei log seguenti:

  • Registro applicazioni

    Il log dell'applicazione contiene eventi registrati dai programmi. Gli eventi scritti nel log dell'applicazione sono determinati dagli sviluppatori del programma software.

  • Log di sicurezza

    Il log di sicurezza contiene eventi come tentativi di accesso validi e non validi. Contiene anche eventi correlati all'uso delle risorse, ad esempio quando si creano, si aprono o si eliminano file. È necessario essere connessi come amministratore o come membro del gruppo Administrators per attivare, usare e specificare quali eventi vengono registrati nel log di sicurezza.

  • Log di sistema

    Il log di sistema contiene eventi registrati dai componenti di sistema di Windows. Questi eventi sono predeterminati da Windows.

  • Log del servizio directory

    Il log del servizio directory contiene eventi correlati ad Active Directory. Questo log è disponibile solo nei controller di dominio.

  • Log del server DNS

    Il log del server DNS contiene eventi correlati alla risoluzione dei nomi DNS da o verso indirizzi IP (Internet Protocol). Questo log è disponibile solo nei server DNS.

  • Log del servizio Replica file

    Il log del servizio Replica file contiene eventi registrati durante il processo di replica tra controller di dominio. Questo log è disponibile solo nei controller di dominio.

Per impostazione predefinita, Visualizzatore eventi file di log usano l'estensione evt e si trovano nella cartella %SystemRoot%\System32\winevt\Logs.

Le informazioni sul nome del file di log e sul percorso vengono archiviate nel Registro di sistema. È possibile modificare queste informazioni per modificare il percorso predefinito dei file di log. È possibile spostare i file di log in un'altra posizione se è necessario più spazio su disco in cui registrare i dati.

Creare una cartella del log eventi in un altro percorso

Creare una cartella in cui archiviare i log eventi nell'unità locale e assegnare le autorizzazioni corrette. Ecco la procedura:

  1. Creare una cartella, ad esempio C:\EventLogs.

  2. Fare clic con il pulsante destro del mouse sulla cartella e scegliere Proprietà.

  3. Selezionare la scheda Sicurezza e quindi selezionare Avanzate per autorizzazioni speciali o impostazioni avanzate.

    Nota

    La cartella ha "ereditarietà" abilitata per impostazione predefinita.

  4. Selezionare Modifica per modificare il proprietario in SYSTEM e quindi selezionare Disabilita ereditarietà come indicato di seguito:

    Screenshot della finestra Impostazioni di sicurezza avanzate per EventLogs.

    Verrà richiesto di convertire o rimuovere le autorizzazioni ereditate. Selezionare Converti autorizzazioni ereditate in autorizzazioni esplicite per questo oggetto e nella cartella verranno impostate in modo esplicito le stesse autorizzazioni.

    Nota

    Per creare sottocartelle per i log, selezionare l'opzione Sostituisci tutte le voci di autorizzazione dell'oggetto figlio con voci di autorizzazioni ereditabili da questo oggetto . Le autorizzazioni impostate a livello padre vengono applicate a tutte le sottocartelle e i file.

  5. Modificare le autorizzazioni in modo che alla cartella siano assegnate le autorizzazioni corrette e controllare la colonna Si applica a . Queste autorizzazioni devono corrispondere alle autorizzazioni avanzate della cartella predefinita (%SystemRoot%\System32\winevt\Logs) che archivia i log Visualizzatore eventi. Assicurarsi che gli utenti autenticati dispongano solo dell'autorizzazione di lettura per questa cartella e le sottocartelle.

    Screenshot della finestra Impostazioni di sicurezza avanzate per i log.

    Nota

    Per aggiungere l'utente EventLog , passare alla scheda Sicurezza della finestra di dialogo delle proprietà e seguire questa procedura:

    1. Selezionare Modifica>aggiungi.
    2. Selezionare Percorsi, selezionare il nome del computer locale e quindi fare clic su OK.
    3. Digitare NT SERVICE\EventLog in Immettere i nomi degli oggetti da selezionare e selezionare Controlla nomi. Il nome deve essere risolto in EventLog. Selezionare OK per completare.

    Assicurarsi che controllo completo sia selezionato in Autorizzazioni per EventLog per l'utente eventlog .

Spostare Visualizzatore eventi file di log in un altro percorso

È possibile spostare i file di log nella cartella creata usando il Visualizzatore eventi come indicato di seguito:

  1. Aprire il Visualizzatore eventi.

  2. Fare clic con il pulsante destro del mouse sul nome del log ,ad esempio Sistema, in Log di Windows nel riquadro sinistro e scegliere Proprietà.

  3. Modificare il valore percorso log nel percorso della cartella creata e lasciare il nome del file di log alla fine del percorso, ad esempio C:\EventLogs\System.evtx.

    Screenshot del Finestra Proprietà log con la scheda Generale aperta.

  4. Selezionare Cancella log e quindi Selezionare Salva e cancella per conservare i file del registro eventi in un percorso diverso.

  5. Selezionare Applica>OK.

    Nota

    Controllare la cartella in cui sono stati spostati i log eventi. Se i log eventi non si trovano nella cartella, riavviare il sistema.

È possibile verificare che il percorso del log sia stato aggiornato usando Editor del Registro di sistema. Ad esempio, passare al percorso del Registro di sistema seguente e controllare i dati valore del valore File .

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System

Spostare Visualizzatore eventi file di log con PowerShell

A questo scopo è possibile usare PowerShell. Nell'esempio i log eventi di sicurezza verranno migrati in C:\Logs:

$originalFolder = "$env:SystemRoot\system32\winevt\Logs"
$targetFolder = "C:\logs"
$logName = "Security"

$originalAcl = Get-Acl -Path $originalFolder -Audit -AllCentralAccessPolicies
Set-Acl -Path $targetFolder -AclObject $originalAcl -ClearCentralAccessPolicy
$targetAcl = Get-Acl -Path $targetFolder -Audit -AllCentralAccessPolicies
$targetAcl.SetOwner([System.Security.Principal.NTAccount]::new("SYSTEM"))

New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "AutoBackupLogFiles" -Value "1" -PropertyType "DWord"
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "Flags" -Value "1" -PropertyType "DWord"
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "File" -Value "$targetFolder\$logName.evtx"

Riferimenti

Per altre informazioni su come visualizzare e gestire i log nel Visualizzatore eventi, vedere Come eliminare file di log danneggiati Visualizzatore eventi. Per altre informazioni sull'utilizzo generale Visualizzatore eventi, selezionare il menu Azione in Visualizzatore eventi e quindi selezionare Guida.