Como mover Visualizador de Eventos arquivos de log para outro local

Este artigo descreve como mover Windows Server 2016 e arquivos de log do Windows Server 2019 Visualizador de Eventos para outro local no disco rígido.

Aplica-se a: Windows Server 2016, Windows Server 2019
Número de KB original: 315417

Resumo

O Windows Server registra eventos nos seguintes logs:

  • Log de aplicativos

    O log de aplicativos contém eventos registrados por programas. Os eventos gravados no log de aplicativos são determinados pelos desenvolvedores do programa de software.

  • Log de segurança

    O log de segurança contém eventos como tentativas de logon válidas e inválidas. Ele também contém eventos relacionados ao uso de recursos, por exemplo, quando você cria, abre ou exclui arquivos. Você deve estar conectado como administrador ou como membro do grupo Administradores para ativar, usar e especificar quais eventos são registrados no log de segurança.

  • Log do sistema

    O log do sistema contém eventos registrados por componentes do sistema Windows. Esses eventos são predeterminados pelo Windows.

  • Log do Serviço de Diretório

    O log do Serviço de Diretório contém eventos relacionados ao Active Directory. Esse log só está disponível em controladores de domínio.

  • Log do Servidor DNS

    O log do Servidor DNS contém eventos relacionados à resolução de nomes DNS de endereços IP (protocolo de Internet). Esse log só está disponível em servidores DNS.

  • Log do Serviço de Replicação de Arquivos

    O log do Serviço de Replicação de Arquivos contém eventos registrados durante o processo de replicação entre controladores de domínio. Esse log só está disponível em controladores de domínio.

Por padrão, Visualizador de Eventos arquivos de log usam a extensão .evt e estão localizados na pasta %SystemRoot%\System32\winevt\Logs.

As informações de nome e local do arquivo de log são armazenadas no registro. Você pode editar essas informações para alterar o local padrão dos arquivos de log. Talvez você queira mover arquivos de log para outro local se precisar de mais espaço em disco para registrar dados.

Criar uma pasta de log de eventos em outro local

Crie uma pasta em que você deseja armazenar os logs de eventos em sua unidade local e atribuir permissões corretas. Estas são as etapas:

  1. Crie uma pasta (por exemplo, C:\EventLogs).

  2. Clique com o botão direito do mouse na pasta e clique em Propriedades.

  3. Selecione a guia Segurança e selecione Avançado para permissões especiais ou configurações avançadas.

    Observação

    A pasta tem "herança" habilitada por padrão.

  4. Selecione Alterar para alterar o Proprietário para SYSTEM e selecione Desabilitar Herança da seguinte maneira:

    Captura de tela da janela Configurações avançadas de segurança para EventLogs.

    Você será solicitado a converter ou remover permissões herdadas. Selecione Converter permissões herdadas em permissões explícitas neste objeto e você verá as mesmas permissões definidas explicitamente na pasta.

    Observação

    Para criar subpastas para os logs, marcar as entradas substituir todas as entradas de permissão de objeto filho por entradas de permissões herdáveis dessa opção de objeto. As permissões definidas no nível pai são aplicadas a todas as subpastas e arquivos.

  5. Ajuste as permissões para que a pasta receba as permissões corretas e marcar a coluna Aplica-se à. Essas permissões devem ser as mesmas que as permissões avançadas da pasta padrão (%SystemRoot%\System32\winevt\Logs) que armazena os logs de Visualizador de Eventos. Verifique se os Usuários Autenticados só têm permissão de leitura para esta pasta e subpastas.

    Captura de tela da janela Configurações avançadas de segurança para logs.

    Observação

    Para adicionar o usuário EventLog , acesse a guia Segurança da caixa de diálogo propriedades e siga estas etapas:

    1. Selecione Editar>Adicionar.
    2. Selecione Locais, selecione o nome do computador local e selecione OK.
    3. Digite NT SERVICE\EventLog em Inserir os nomes de objeto para selecionar e selecionar Verificar Nomes. O nome deve ser resolvido para EventLog. Selecione OK para concluir.

    Verifique se o Controle Completo está selecionado em Permissões para EventLog para o usuário eventLog .

Mover Visualizador de Eventos arquivos de log para outro local

Você pode mover os arquivos de log para a pasta criada usando o Visualizador de Eventos da seguinte maneira:

  1. Abra o Visualizador de Eventos.

  2. Clique com o botão direito do mouse no nome do log (por exemplo, Sistema) em Logs do Windows no painel esquerdo e selecione Propriedades.

  3. Altere o valor do caminho de log para o local da pasta criada e deixe o nome do arquivo de log no final do caminho (por exemplo, C:\EventLogs\System.evtx).

    Captura de tela do log janela Propriedades com a guia Geral aberta.

  4. Selecione Limpar Log e, em seguida, selecione Salvar e Limpar para manter os arquivos de log de eventos em um local diferente.

  5. Selecione Aplicar>OK.

    Observação

    Verifique a pasta para a qual você moveu os logs de eventos. Se os logs de eventos não estiverem na pasta, reinicie o sistema.

Você pode confirmar se o caminho do log foi atualizado usando o Registro Editor. Por exemplo, vá para o caminho do registro a seguir e marcar os dados de valordo valor arquivo.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System

Mover Visualizador de Eventos arquivos de log usando o Powershell

É possível utilizar o Powershell para essa finalidade. No exemplo, os logs de eventos de segurança serão migrados para C:\Logs:

$originalFolder = "$env:SystemRoot\system32\winevt\Logs"
$targetFolder = "C:\logs"
$logName = "Security"

$originalAcl = Get-Acl -Path $originalFolder -Audit -AllCentralAccessPolicies
Set-Acl -Path $targetFolder -AclObject $originalAcl -ClearCentralAccessPolicy
$targetAcl = Get-Acl -Path $targetFolder -Audit -AllCentralAccessPolicies
$targetAcl.SetOwner([System.Security.Principal.NTAccount]::new("SYSTEM"))

New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "AutoBackupLogFiles" -Value "1" -PropertyType "DWord"
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "Flags" -Value "1" -PropertyType "DWord"
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "File" -Value "$targetFolder\$logName.evtx"

Referências

Para obter mais informações sobre como exibir e gerenciar logs no Visualizador de Eventos, confira Como excluir arquivos de log Visualizador de Eventos corrompidos. Para saber mais sobre o uso geral do Visualizador de Eventos, selecione o menu Ação no Visualizador de Eventos e selecione Ajuda.