Olay Görüntüleyicisi günlük dosyalarını başka bir konuma taşıma
Bu makalede, Windows Server 2016 ve Windows Server 2019 Olay Görüntüleyicisi günlük dosyalarının sabit disk üzerindeki başka bir konuma nasıl taşındığı açıklanır.
Şunlar için geçerlidir: Windows Server 2016, Windows Server 2019
Özgün KB numarası: 315417
Özet
Windows Server olayları aşağıdaki günlüklere kaydeder:
Uygulama günlüğü
Uygulama günlüğü, programlar tarafından günlüğe kaydedilen olayları içerir. Uygulama günlüğüne yazılan olaylar yazılım programının geliştiricileri tarafından belirlenir.
Güvenlik günlüğü
Güvenlik günlüğü, geçerli ve geçersiz oturum açma girişimleri gibi olayları içerir. Ayrıca kaynak kullanımıyla ilgili olaylar da içerir; örneğin, dosyaları oluştururken, açarken veya silerken. Güvenlik günlüğüne hangi olayların kaydedileceğini açmak, kullanmak ve belirtmek için yönetici olarak veya Yöneticiler grubunun bir üyesi olarak oturum açmanız gerekir.
Sistem günlüğü
Sistem günlüğü, Windows sistem bileşenleri tarafından günlüğe kaydedilen olayları içerir. Bu olaylar Windows tarafından önceden belirlenmiştir.
Dizin Hizmeti günlüğü
Dizin Hizmeti günlüğü Active Directory ile ilgili olayları içerir. Bu günlük yalnızca etki alanı denetleyicilerinde kullanılabilir.
DNS Sunucusu günlüğü
DNS Sunucusu günlüğü, DNS adlarının İnternet protokolü (IP) adreslerine veya adreslerinden çözümlenmesiyle ilgili olaylar içerir. Bu günlük yalnızca DNS sunucularında kullanılabilir.
Dosya Çoğaltma Hizmeti günlüğü
Dosya Çoğaltma Hizmeti günlüğü, etki alanı denetleyicileri arasındaki çoğaltma işlemi sırasında günlüğe kaydedilen olayları içerir. Bu günlük yalnızca etki alanı denetleyicilerinde kullanılabilir.
Varsayılan olarak, Olay Görüntüleyicisi günlük dosyaları .evt uzantısını kullanır ve %SystemRoot%\System32\winevt\Logs klasöründe bulunur.
Günlük dosyası adı ve konum bilgileri kayıt defterinde depolanır. Günlük dosyalarının varsayılan konumunu değiştirmek için bu bilgileri düzenleyebilirsiniz. Verilerin günlüğe kaydedilebileceği daha fazla disk alanı gerekiyorsa günlük dosyalarını başka bir konuma taşımak isteyebilirsiniz.
Başka bir konumda olay günlüğü klasörü oluşturma
Olay günlüklerini yerel sürücünüzde depolamak ve doğru izinleri atamak istediğiniz bir klasör oluşturun. Adımlar şunlardır:
Bir klasör oluşturun (örneğin, C:\EventLogs).
Klasöre sağ tıklayın ve Özellikler'i seçin.
Güvenlik sekmesini ve ardından özel izinler veya gelişmiş ayarlar için Gelişmiş'i seçin.
Not
Klasörde varsayılan olarak "devralma" etkindir.
Sahip'iSYSTEM olarak değiştirmek için Değiştir'i ve ardından Devralmayı Devre Dışı Bırak'ı aşağıdaki gibi seçin:
Devralınan izinleri dönüştürmeniz veya kaldırmanız istenir. Devralınan izinleri bu nesnedeki açık izinlere dönüştür'ü seçtiğinizde klasörde açıkça ayarlanan izinleri görürsünüz.
Not
Günlükler için alt klasörler oluşturmak için Tüm alt nesne izin girdilerini bu nesneden devralınabilir izin girdileriyle değiştir seçeneğini işaretleyin. Üst düzeyde ayarlanan izinler tüm alt klasörlere ve dosyalara uygulanır.
Klasöre doğru izinlerin atanması için izinleri ayarlayın ve Uygulandığı yer sütununu işaretleyin. Bu izinler, Olay Görüntüleyicisi günlüklerini depolayan varsayılan klasörün (%SystemRoot%\System32\winevt\Logs) gelişmiş izinleriyle aynı olmalıdır. Kimliği Doğrulanmış KullanıcılarınBu klasör ve alt klasörler için yalnızca Okuma iznine sahip olduğundan emin olun.
Not
EventLog kullanıcısını eklemek için özellikler iletişim kutusunun Güvenlik sekmesine gidin ve şu adımları izleyin:
- EkleDüzenle'yi> seçin.
- Konumlar'ı seçin, yerel bilgisayar adını seçin ve ardından Tamam'ı seçin.
- Seçecek nesne adlarını girin ve Adları Denetle'yi seçin alanına NT SERVICE\EventLog yazın. Ad EventLog olarak çözümlenmelidir. Bitirmek için Tamam'ı seçin.
EventLog kullanıcısı için EventLog İzinleri'nin altında Tam Denetim'in seçili olduğundan emin olun.
Olay Görüntüleyicisi günlük dosyalarını başka bir konuma taşıma
Aşağıdaki gibi Olay Görüntüleyicisi kullanarak günlük dosyalarını oluşturulan klasöre taşıyabilirsiniz:
Olay Görüntüleyicisi açın.
Sol bölmedeki Windows Günlükleri'nin altındaki günlük adına (örneğin, Sistem) sağ tıklayın ve Özellikler'i seçin.
Günlük yolu değerini oluşturulan klasörün konumuyla değiştirin ve günlük dosyası adını yolun sonunda bırakın (örneğin, C:\EventLogs\System.evtx).
Günlüğü Temizle'yi ve ardından Kaydet ve Temizle'yi seçerek olay günlüğü dosyalarını farklı bir konumda tutun.
Uygula>Tamam'ı seçin.
Not
Olay günlüklerini taşıdığınız klasörü denetleyin. Olay günlükleri klasörde değilse, sistemi yeniden başlatın.
Kayıt Defteri Düzenleyici kullanarak günlük yolunun güncelleştirildiğini onaylayabilirsiniz. Örneğin, aşağıdaki kayıt defteri yoluna gidin ve Dosya değerinin Değer verilerini denetleyin.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System
PowerShell kullanarak Olay Görüntüleyicisi günlük dosyalarını taşıma
PowerShell'i bu amaçla kullanmak mümkündür. Örnekte Güvenlik olay günlükleri C:\Logs'a geçirilecektir:
$originalFolder = "$env:SystemRoot\system32\winevt\Logs"
$targetFolder = "C:\logs"
$logName = "Security"
$originalAcl = Get-Acl -Path $originalFolder -Audit -AllCentralAccessPolicies
Set-Acl -Path $targetFolder -AclObject $originalAcl -ClearCentralAccessPolicy
$targetAcl = Get-Acl -Path $targetFolder -Audit -AllCentralAccessPolicies
$targetAcl.SetOwner([System.Security.Principal.NTAccount]::new("SYSTEM"))
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "AutoBackupLogFiles" -Value "1" -PropertyType "DWord"
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "Flags" -Value "1" -PropertyType "DWord"
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "File" -Value "$targetFolder\$logName.evtx"
Başvurular
Olay Görüntüleyicisi günlükleri görüntüleme ve yönetme hakkında daha fazla bilgi için bkz. Bozuk Olay Görüntüleyicisi Günlük dosyalarını silme. Genel Olay Görüntüleyicisi kullanımı hakkında daha fazla bilgi edinmek için Olay Görüntüleyicisi eylem menüsünü ve ardından Yardım'ı seçin.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin