Cómo mover Visor de eventos archivos de registro a otra ubicación

  • Artículo

En este artículo se describe cómo mover Windows Server 2016 y windows server 2019 Visor de eventos archivos de registro a otra ubicación del disco duro.

Se aplica a: Windows Server 2016, Windows Server 2019
Número de KB original: 315417

Resumen

Windows Server registra eventos en los registros siguientes:

  • Registro de aplicación

    El registro de aplicación contiene eventos que registran los programas. Los eventos que se escriben en el registro de aplicaciones los determinan los desarrolladores del programa de software.

  • Registro de seguridad

    El registro de seguridad contiene eventos como intentos de inicio de sesión válidos y no válidos. También contiene eventos relacionados con el uso de recursos, por ejemplo, al crear, abrir o eliminar archivos. Debe iniciar sesión como administrador o como miembro del grupo Administradores para activar, usar y especificar qué eventos se registran en el registro de seguridad.

  • Registro del sistema

    El registro del sistema contiene eventos que registran los componentes del sistema de Windows. Estos eventos están predeterminados por Windows.

  • Registro del servicio de directorio

    El registro del servicio de directorio contiene eventos relacionados con Active Directory. Este registro solo está disponible en controladores de dominio.

  • Registro del servidor DNS

    El registro del servidor DNS contiene eventos relacionados con la resolución de nombres DNS hacia o desde direcciones de protocolo de Internet (IP). Este registro solo está disponible en servidores DNS.

  • Registro del servicio de replicación de archivos

    El registro del servicio de replicación de archivos contiene eventos que se registran durante el proceso de replicación entre controladores de dominio. Este registro solo está disponible en controladores de dominio.

De forma predeterminada, Visor de eventos archivos de registro usan la extensión .evt y se encuentran en la carpeta %SystemRoot%\System32\winevt\Logs.

El nombre del archivo de registro y la información de ubicación se almacenan en el Registro. Puede editar esta información para cambiar la ubicación predeterminada de los archivos de registro. Es posible que desee mover los archivos de registro a otra ubicación si necesita más espacio en disco en el que registrar los datos.

Creación de una carpeta de registro de eventos en otra ubicación

Cree una carpeta donde desee almacenar los registros de eventos en la unidad local y asignar los permisos correctos. Estos son los pasos:

  1. Cree una carpeta (por ejemplo, C:\EventLogs).

  2. Haga clic con el botón secundario en la carpeta y seleccione Propiedades.

  3. Seleccione la pestaña Seguridad y, a continuación, seleccione Opciones avanzadas para permisos especiales o configuración avanzada.

    Nota:

    La carpeta tiene habilitada la "herencia" de forma predeterminada.

  4. Seleccione Cambiar para cambiar propietario aSISTEMA y, a continuación, seleccione Deshabilitar herencia como se indica a continuación:

    Captura de pantalla de la ventana Configuración de seguridad avanzada para EventLogs.

    Se le pedirá que convierta o quite los permisos heredados. Seleccione Convertir permisos heredados en permisos explícitos en este objeto y verá los mismos permisos establecidos explícitamente en la carpeta.

    Nota:

    Para crear subcarpetas para los registros, compruebe la opción Reemplazar todas las entradas de permiso de objeto secundario por entradas de permisos heredados de este objeto . Los permisos establecidos en el nivel primario se aplican a todas las subcarpetas y archivos.

  5. Ajuste los permisos para que a la carpeta se le asignen los permisos correctos y compruebe la columna Se aplica a . Estos permisos deben ser los mismos que los permisos avanzados de la carpeta predeterminada (%SystemRoot%\System32\winevt\Logs) que almacena los registros de Visor de eventos. Asegúrese de que los usuarios autenticados solo tienen permiso de lectura para esta carpeta y subcarpetas.

    Captura de pantalla de la ventana Configuración de seguridad avanzada para registros.

    Nota:

    Para agregar el usuario EventLog , vaya a la pestaña Seguridad del cuadro de diálogo de propiedades y siga estos pasos:

    1. Seleccione Editar>agregar.
    2. Seleccione Ubicaciones, seleccione el nombre del equipo local y, a continuación, seleccione Aceptar.
    3. Escriba NT SERVICE\EventLog en Escriba los nombres de objeto para seleccionar y seleccione Comprobar nombres. El nombre debe resolverse en EventLog. Seleccione Aceptar para finalizar.

    Asegúrese de que Control total está seleccionado en Permisos para EventLog para el usuario EventLog .

Mover Visor de eventos archivos de registro a otra ubicación

Puede mover los archivos de registro a la carpeta creada mediante el Visor de eventos como se indica a continuación:

  1. Abra el Visor de eventos.

  2. Haga clic con el botón derecho en el nombre del registro (por ejemplo, Sistema) en Registros de Windows en el panel izquierdo y seleccione Propiedades.

  3. Cambie el valor de Ruta de acceso de registro a la ubicación de la carpeta creada y deje el nombre del archivo de registro al final de la ruta de acceso (por ejemplo, C:\EventLogs\System.evtx).

    Captura de pantalla de la ventana Propiedades De registro con la pestaña General abierta.

  4. Seleccione Borrar registro y, a continuación, seleccione Guardar y borrar para conservar los archivos de registro de eventos en otra ubicación.

  5. Seleccione Aplicar>Aceptar.

    Nota:

    Compruebe la carpeta a la que ha movido los registros de eventos. Si los registros de eventos no están en la carpeta, reinicie el sistema.

Puede confirmar que la ruta de acceso del registro se ha actualizado mediante Editor del Registro. Por ejemplo, vaya a la siguiente ruta de acceso del Registro y compruebe los datos de valor del valor De archivo .

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System

Mover Visor de eventos archivos de registro mediante PowerShell

Es posible usar PowerShell para este propósito. En el ejemplo, los registros de eventos de seguridad se migrarán a C:\Logs:

$originalFolder = "$env:SystemRoot\system32\winevt\Logs"
$targetFolder = "C:\logs"
$logName = "Security"

$originalAcl = Get-Acl -Path $originalFolder -Audit -AllCentralAccessPolicies
Set-Acl -Path $targetFolder -AclObject $originalAcl -ClearCentralAccessPolicy
$targetAcl = Get-Acl -Path $targetFolder -Audit -AllCentralAccessPolicies
$targetAcl.SetOwner([System.Security.Principal.NTAccount]::new("SYSTEM"))

New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "AutoBackupLogFiles" -Value "1" -PropertyType "DWord"
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "Flags" -Value "1" -PropertyType "DWord"
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "File" -Value "$targetFolder\$logName.evtx"

Referencias

Para obtener más información sobre cómo ver y administrar registros en el Visor de eventos, consulte Eliminación de archivos de registro de Visor de eventos dañados. Para obtener más información sobre el uso general de Visor de eventos, seleccione el menú Acción de Visor de eventos y, a continuación, seleccione Ayuda.