Come spostare Visualizzatore eventi file di log in un altro percorso
Questo articolo descrive come spostare i file di log di Windows Server 2016 e Windows Server 2019 Visualizzatore eventi in un'altra posizione del disco rigido.
Si applica a: Windows Server 2016, Windows Server 2019
Numero KB originale: 315417
Riepilogo
Windows Server registra gli eventi nei log seguenti:
Registro applicazioni
Il log dell'applicazione contiene eventi registrati dai programmi. Gli eventi scritti nel log dell'applicazione sono determinati dagli sviluppatori del programma software.
Log di sicurezza
Il log di sicurezza contiene eventi come tentativi di accesso validi e non validi. Contiene anche eventi correlati all'uso delle risorse, ad esempio quando si creano, si aprono o si eliminano file. È necessario essere connessi come amministratore o come membro del gruppo Administrators per attivare, usare e specificare quali eventi vengono registrati nel log di sicurezza.
Log di sistema
Il log di sistema contiene eventi registrati dai componenti di sistema di Windows. Questi eventi sono predeterminati da Windows.
Log del servizio directory
Il log del servizio directory contiene eventi correlati ad Active Directory. Questo log è disponibile solo nei controller di dominio.
Log del server DNS
Il log del server DNS contiene eventi correlati alla risoluzione dei nomi DNS da o verso indirizzi IP (Internet Protocol). Questo log è disponibile solo nei server DNS.
Log del servizio Replica file
Il log del servizio Replica file contiene eventi registrati durante il processo di replica tra controller di dominio. Questo log è disponibile solo nei controller di dominio.
Per impostazione predefinita, Visualizzatore eventi file di log usano l'estensione evt e si trovano nella cartella %SystemRoot%\System32\winevt\Logs.
Le informazioni sul nome del file di log e sul percorso vengono archiviate nel Registro di sistema. È possibile modificare queste informazioni per modificare il percorso predefinito dei file di log. È possibile spostare i file di log in un'altra posizione se è necessario più spazio su disco in cui registrare i dati.
Creare una cartella del log eventi in un altro percorso
Creare una cartella in cui archiviare i log eventi nell'unità locale e assegnare le autorizzazioni corrette. Ecco la procedura:
Creare una cartella, ad esempio C:\EventLogs.
Fare clic con il pulsante destro del mouse sulla cartella e scegliere Proprietà.
Selezionare la scheda Sicurezza e quindi selezionare Avanzate per autorizzazioni speciali o impostazioni avanzate.
Nota
La cartella ha "ereditarietà" abilitata per impostazione predefinita.
Selezionare Modifica per modificare il proprietario in SYSTEM e quindi selezionare Disabilita ereditarietà come indicato di seguito:
Verrà richiesto di convertire o rimuovere le autorizzazioni ereditate. Selezionare Converti autorizzazioni ereditate in autorizzazioni esplicite per questo oggetto e nella cartella verranno impostate in modo esplicito le stesse autorizzazioni.
Nota
Per creare sottocartelle per i log, selezionare l'opzione Sostituisci tutte le voci di autorizzazione dell'oggetto figlio con voci di autorizzazioni ereditabili da questo oggetto . Le autorizzazioni impostate a livello padre vengono applicate a tutte le sottocartelle e i file.
Modificare le autorizzazioni in modo che alla cartella siano assegnate le autorizzazioni corrette e controllare la colonna Si applica a . Queste autorizzazioni devono corrispondere alle autorizzazioni avanzate della cartella predefinita (%SystemRoot%\System32\winevt\Logs) che archivia i log Visualizzatore eventi. Assicurarsi che gli utenti autenticati dispongano solo dell'autorizzazione di lettura per questa cartella e le sottocartelle.
Nota
Per aggiungere l'utente EventLog , passare alla scheda Sicurezza della finestra di dialogo delle proprietà e seguire questa procedura:
- Selezionare Modifica>aggiungi.
- Selezionare Percorsi, selezionare il nome del computer locale e quindi fare clic su OK.
- Digitare NT SERVICE\EventLog in Immettere i nomi degli oggetti da selezionare e selezionare Controlla nomi. Il nome deve essere risolto in EventLog. Selezionare OK per completare.
Assicurarsi che controllo completo sia selezionato in Autorizzazioni per EventLog per l'utente eventlog .
Spostare Visualizzatore eventi file di log in un altro percorso
È possibile spostare i file di log nella cartella creata usando il Visualizzatore eventi come indicato di seguito:
Aprire il Visualizzatore eventi.
Fare clic con il pulsante destro del mouse sul nome del log ,ad esempio Sistema, in Log di Windows nel riquadro sinistro e scegliere Proprietà.
Modificare il valore percorso log nel percorso della cartella creata e lasciare il nome del file di log alla fine del percorso, ad esempio C:\EventLogs\System.evtx.
Selezionare Cancella log e quindi Selezionare Salva e cancella per conservare i file del registro eventi in un percorso diverso.
Selezionare Applica>OK.
Nota
Controllare la cartella in cui sono stati spostati i log eventi. Se i log eventi non si trovano nella cartella, riavviare il sistema.
È possibile verificare che il percorso del log sia stato aggiornato usando Editor del Registro di sistema. Ad esempio, passare al percorso del Registro di sistema seguente e controllare i dati valore del valore File .
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System
Spostare Visualizzatore eventi file di log con PowerShell
A questo scopo è possibile usare PowerShell. Nell'esempio i log eventi di sicurezza verranno migrati in C:\Logs:
$originalFolder = "$env:SystemRoot\system32\winevt\Logs"
$targetFolder = "C:\logs"
$logName = "Security"
$originalAcl = Get-Acl -Path $originalFolder -Audit -AllCentralAccessPolicies
Set-Acl -Path $targetFolder -AclObject $originalAcl -ClearCentralAccessPolicy
$targetAcl = Get-Acl -Path $targetFolder -Audit -AllCentralAccessPolicies
$targetAcl.SetOwner([System.Security.Principal.NTAccount]::new("SYSTEM"))
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "AutoBackupLogFiles" -Value "1" -PropertyType "DWord"
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "Flags" -Value "1" -PropertyType "DWord"
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "File" -Value "$targetFolder\$logName.evtx"
Riferimenti
Per altre informazioni su come visualizzare e gestire i log nel Visualizzatore eventi, vedere Come eliminare file di log danneggiati Visualizzatore eventi. Per altre informazioni sull'utilizzo generale Visualizzatore eventi, selezionare il menu Azione in Visualizzatore eventi e quindi selezionare Guida.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per