Olay Görüntüleyicisi günlük dosyalarını başka bir konuma taşıma

  • Makale

Bu makalede, Windows Server 2016 ve Windows Server 2019 Olay Görüntüleyicisi günlük dosyalarının sabit disk üzerindeki başka bir konuma nasıl taşındığı açıklanır.

Şunlar için geçerlidir: Windows Server 2016, Windows Server 2019
Özgün KB numarası: 315417

Özet

Windows Server olayları aşağıdaki günlüklere kaydeder:

  • Uygulama günlüğü

    Uygulama günlüğü, programlar tarafından günlüğe kaydedilen olayları içerir. Uygulama günlüğüne yazılan olaylar yazılım programının geliştiricileri tarafından belirlenir.

  • Güvenlik günlüğü

    Güvenlik günlüğü, geçerli ve geçersiz oturum açma girişimleri gibi olayları içerir. Ayrıca kaynak kullanımıyla ilgili olaylar da içerir; örneğin, dosyaları oluştururken, açarken veya silerken. Güvenlik günlüğüne hangi olayların kaydedileceğini açmak, kullanmak ve belirtmek için yönetici olarak veya Yöneticiler grubunun bir üyesi olarak oturum açmanız gerekir.

  • Sistem günlüğü

    Sistem günlüğü, Windows sistem bileşenleri tarafından günlüğe kaydedilen olayları içerir. Bu olaylar Windows tarafından önceden belirlenmiştir.

  • Dizin Hizmeti günlüğü

    Dizin Hizmeti günlüğü Active Directory ile ilgili olayları içerir. Bu günlük yalnızca etki alanı denetleyicilerinde kullanılabilir.

  • DNS Sunucusu günlüğü

    DNS Sunucusu günlüğü, DNS adlarının İnternet protokolü (IP) adreslerine veya adreslerinden çözümlenmesiyle ilgili olaylar içerir. Bu günlük yalnızca DNS sunucularında kullanılabilir.

  • Dosya Çoğaltma Hizmeti günlüğü

    Dosya Çoğaltma Hizmeti günlüğü, etki alanı denetleyicileri arasındaki çoğaltma işlemi sırasında günlüğe kaydedilen olayları içerir. Bu günlük yalnızca etki alanı denetleyicilerinde kullanılabilir.

Varsayılan olarak, Olay Görüntüleyicisi günlük dosyaları .evt uzantısını kullanır ve %SystemRoot%\System32\winevt\Logs klasöründe bulunur.

Günlük dosyası adı ve konum bilgileri kayıt defterinde depolanır. Günlük dosyalarının varsayılan konumunu değiştirmek için bu bilgileri düzenleyebilirsiniz. Verilerin günlüğe kaydedilebileceği daha fazla disk alanı gerekiyorsa günlük dosyalarını başka bir konuma taşımak isteyebilirsiniz.

Başka bir konumda olay günlüğü klasörü oluşturma

Olay günlüklerini yerel sürücünüzde depolamak ve doğru izinleri atamak istediğiniz bir klasör oluşturun. Adımlar şunlardır:

  1. Bir klasör oluşturun (örneğin, C:\EventLogs).

  2. Klasöre sağ tıklayın ve Özellikler'i seçin.

  3. Güvenlik sekmesini ve ardından özel izinler veya gelişmiş ayarlar için Gelişmiş'i seçin.

    Not

    Klasörde varsayılan olarak "devralma" etkindir.

  4. Sahip'iSYSTEM olarak değiştirmek için Değiştir'i ve ardından Devralmayı Devre Dışı Bırak'ı aşağıdaki gibi seçin:

    EventLogs için Gelişmiş Güvenlik Ayarları penceresinin ekran görüntüsü.

    Devralınan izinleri dönüştürmeniz veya kaldırmanız istenir. Devralınan izinleri bu nesnedeki açık izinlere dönüştür'ü seçtiğinizde klasörde açıkça ayarlanan izinleri görürsünüz.

    Not

    Günlükler için alt klasörler oluşturmak için Tüm alt nesne izin girdilerini bu nesneden devralınabilir izin girdileriyle değiştir seçeneğini işaretleyin. Üst düzeyde ayarlanan izinler tüm alt klasörlere ve dosyalara uygulanır.

  5. Klasöre doğru izinlerin atanması için izinleri ayarlayın ve Uygulandığı yer sütununu işaretleyin. Bu izinler, Olay Görüntüleyicisi günlüklerini depolayan varsayılan klasörün (%SystemRoot%\System32\winevt\Logs) gelişmiş izinleriyle aynı olmalıdır. Kimliği Doğrulanmış KullanıcılarınBu klasör ve alt klasörler için yalnızca Okuma iznine sahip olduğundan emin olun.

    Günlükler için Gelişmiş Güvenlik Ayarları penceresinin ekran görüntüsü.

    Not

    EventLog kullanıcısını eklemek için özellikler iletişim kutusunun Güvenlik sekmesine gidin ve şu adımları izleyin:

    1. EkleDüzenle'yi> seçin.
    2. Konumlar'ı seçin, yerel bilgisayar adını seçin ve ardından Tamam'ı seçin.
    3. Seçecek nesne adlarını girin ve Adları Denetle'yi seçin alanına NT SERVICE\EventLog yazın. Ad EventLog olarak çözümlenmelidir. Bitirmek için Tamam'ı seçin.

    EventLog kullanıcısı için EventLog İzinleri'nin altında Tam Denetim'in seçili olduğundan emin olun.

Olay Görüntüleyicisi günlük dosyalarını başka bir konuma taşıma

Aşağıdaki gibi Olay Görüntüleyicisi kullanarak günlük dosyalarını oluşturulan klasöre taşıyabilirsiniz:

  1. Olay Görüntüleyicisi açın.

  2. Sol bölmedeki Windows Günlükleri'nin altındaki günlük adına (örneğin, Sistem) sağ tıklayın ve Özellikler'i seçin.

  3. Günlük yolu değerini oluşturulan klasörün konumuyla değiştirin ve günlük dosyası adını yolun sonunda bırakın (örneğin, C:\EventLogs\System.evtx).

    Genel sekmesinin açık olduğu Günlük Özellikler penceresi ekran görüntüsü.

  4. Günlüğü Temizle'yi ve ardından Kaydet ve Temizle'yi seçerek olay günlüğü dosyalarını farklı bir konumda tutun.

  5. Uygula>Tamam'ı seçin.

    Not

    Olay günlüklerini taşıdığınız klasörü denetleyin. Olay günlükleri klasörde değilse, sistemi yeniden başlatın.

Kayıt Defteri Düzenleyici kullanarak günlük yolunun güncelleştirildiğini onaylayabilirsiniz. Örneğin, aşağıdaki kayıt defteri yoluna gidin ve Dosya değerinin Değer verilerini denetleyin.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System

PowerShell kullanarak Olay Görüntüleyicisi günlük dosyalarını taşıma

PowerShell'i bu amaçla kullanmak mümkündür. Örnekte Güvenlik olay günlükleri C:\Logs'a geçirilecektir:

$originalFolder = "$env:SystemRoot\system32\winevt\Logs"
$targetFolder = "C:\logs"
$logName = "Security"

$originalAcl = Get-Acl -Path $originalFolder -Audit -AllCentralAccessPolicies
Set-Acl -Path $targetFolder -AclObject $originalAcl -ClearCentralAccessPolicy
$targetAcl = Get-Acl -Path $targetFolder -Audit -AllCentralAccessPolicies
$targetAcl.SetOwner([System.Security.Principal.NTAccount]::new("SYSTEM"))

New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "AutoBackupLogFiles" -Value "1" -PropertyType "DWord"
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "Flags" -Value "1" -PropertyType "DWord"
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "File" -Value "$targetFolder\$logName.evtx"

Başvurular

Olay Görüntüleyicisi günlükleri görüntüleme ve yönetme hakkında daha fazla bilgi için bkz. Bozuk Olay Görüntüleyicisi Günlük dosyalarını silme. Genel Olay Görüntüleyicisi kullanımı hakkında daha fazla bilgi edinmek için Olay Görüntüleyicisi eylem menüsünü ve ardından Yardım'ı seçin.