Verschieben von Ereignisanzeige Protokolldateien an einen anderen Speicherort

  • Artikel

In diesem Artikel wird beschrieben, wie Sie Windows Server 2016- und Windows Server 2019-Ereignisanzeige Protokolldateien an einen anderen Speicherort auf der Festplatte verschieben.

Gilt für: Windows Server 2016, Windows Server 2019
Ursprüngliche KB-Nummer: 315417

Zusammenfassung

Windows Server zeichnet Ereignisse in den folgenden Protokollen auf:

  • Anwendungsprotokoll

    Das Anwendungsprotokoll enthält Ereignisse, die von Programmen protokolliert werden. Ereignisse, die in das Anwendungsprotokoll geschrieben werden, werden von den Entwicklern des Softwareprogramms bestimmt.

  • Sicherheitsprotokoll

    Das Sicherheitsprotokoll enthält Ereignisse wie gültige und ungültige Anmeldeversuche. Sie enthält auch Ereignisse, die sich auf die Ressourcennutzung beziehen, z. B. beim Erstellen, Öffnen oder Löschen von Dateien. Sie müssen als Administrator oder Als Mitglied der Gruppe Administratoren angemeldet sein, um sie aktivieren, verwenden und angeben zu können, welche Ereignisse im Sicherheitsprotokoll aufgezeichnet werden.

  • Systemprotokoll

    Das Systemprotokoll enthält Ereignisse, die von Windows-Systemkomponenten protokolliert werden. Diese Ereignisse werden von Windows vorbestimmt.

  • Verzeichnisdienstprotokoll

    Das Verzeichnisdienstprotokoll enthält Active Directory-bezogene Ereignisse. Dieses Protokoll ist nur auf Domänencontrollern verfügbar.

  • DNS-Serverprotokoll

    Das DNS-Serverprotokoll enthält Ereignisse, die sich auf die Auflösung von DNS-Namen in oder von IP-Adressen (Internetprotokoll) beziehen. Dieses Protokoll ist nur auf DNS-Servern verfügbar.

  • Protokoll des Dateireplikationsdiensts

    Das Protokoll des Dateireplikationsdiensts enthält Ereignisse, die während des Replikationsprozesses zwischen Domänencontrollern protokolliert werden. Dieses Protokoll ist nur auf Domänencontrollern verfügbar.

Standardmäßig verwenden Ereignisanzeige Protokolldateien die Erweiterung EVT und befinden sich im Ordner %SystemRoot%\System32\winevt\Logs.

Der Protokolldateiname und die Speicherortinformationen werden in der Registrierung gespeichert. Sie können diese Informationen bearbeiten, um den Standardspeicherort der Protokolldateien zu ändern. Sie können Protokolldateien an einen anderen Speicherort verschieben, wenn Sie mehr Speicherplatz zum Protokollieren von Daten benötigen.

Erstellen eines Ereignisprotokollordners an einem anderen Speicherort

Erstellen Sie einen Ordner, in dem Sie die Ereignisprotokolle auf Ihrem lokalen Laufwerk speichern und die richtigen Berechtigungen zuweisen möchten. Die Schritte sind hier aufgeführt:

  1. Erstellen Sie einen Ordner (z. B. C:\EventLogs).

  2. Klicken Sie mit der rechten Maustaste auf den Ordner, und klicken Sie auf Eigenschaften.

  3. Wählen Sie die Registerkarte Sicherheit und dann Erweitert für spezielle Berechtigungen oder erweiterte Einstellungen aus.

    Hinweis

    Für den Ordner ist standardmäßig "Vererbung" aktiviert.

  4. Wählen Sie Ändern aus, um den Besitzer in SYSTEM zu ändern, und wählen Sie dann Vererbung wie folgt deaktivieren aus:

    Screenshot des Fensters

    Sie werden aufgefordert, geerbte Berechtigungen zu konvertieren oder zu entfernen. Wählen Sie Geerbte Berechtigungen in explizite Berechtigungen für dieses Objekt konvertieren aus. Dann werden die gleichen Berechtigungen explizit für den Ordner festgelegt.

    Hinweis

    Um Unterordner für die Protokolle zu erstellen, aktivieren Sie die Option Alle untergeordneten Objektberechtigungseinträge durch vererbbare Berechtigungseinträge von diesem Objekt ersetzen . Die auf der übergeordneten Ebene festgelegten Berechtigungen werden auf alle Unterordner und Dateien angewendet.

  5. Passen Sie die Berechtigungen so an, dass dem Ordner die richtigen Berechtigungen zugewiesen werden, und überprüfen Sie die Spalte Gilt für . Diese Berechtigungen sollten mit den erweiterten Berechtigungen des Standardordners (%SystemRoot%\System32\winevt\Logs) identisch sein, in dem die Ereignisanzeige Protokolle gespeichert werden. Stellen Sie sicher, dass die authentifizierten Benutzer nur über die Berechtigung Lesen für Diesen Ordner und unterordner verfügen.

    Screenshot des Fensters

    Hinweis

    Navigieren Sie zum Hinzufügen des EventLog-Benutzers zur Registerkarte Sicherheit des Dialogfelds Eigenschaften, und führen Sie die folgenden Schritte aus:

    1. Wählen Sie Bearbeiten>Hinzufügen aus.
    2. Wählen Sie Standorte aus, wählen Sie den Namen des lokalen Computers und dann OK aus.
    3. Geben Sie NT SERVICE\EventLog unter Geben Sie die auszuwählenden Objektnamen ein , und wählen Sie Namen überprüfen aus. Der Name sollte in EventLog aufgelöst werden. Wählen Sie OK aus, um den Vorgang abzuschließen.

    Stellen Sie sicher, dass vollzugriff unter Berechtigungen für EventLog für den EventLog-Benutzer ausgewählt ist.

Verschieben Ereignisanzeige Protokolldateien an einen anderen Speicherort

Sie können die Protokolldateien in den erstellten Ordner verschieben, indem Sie die Ereignisanzeige wie folgt verwenden:

  1. Öffnen Sie die Ereignisanzeige.

  2. Klicken Sie im linken Bereich unter Windows-Protokolle mit der rechten Maustaste auf den Protokollnamen (z. B. System), und wählen Sie Eigenschaften aus.

  3. Ändern Sie den Wert log path in den Speicherort des erstellten Ordners, und behalten Sie den Protokolldateinamen am Ende des Pfads bei (z. B. C:\EventLogs\System.evtx).

    Screenshot der protokollieren Eigenschaftenfenster mit geöffneter Registerkarte

  4. Wählen Sie Protokoll löschen und dann Speichern und Löschen aus, um die Ereignisprotokolldateien an einem anderen Speicherort beizubehalten.

  5. Wählen Sie Anwenden>OK aus.

    Hinweis

    Überprüfen Sie den Ordner, in den Sie die Ereignisprotokolle verschoben haben. Wenn sich die Ereignisprotokolle nicht im Ordner befinden, starten Sie das System neu.

Sie können mithilfe der Registrierungs-Editor bestätigen, dass der Protokollpfad aktualisiert wurde. Wechseln Sie beispielsweise zum folgenden Registrierungspfad, und überprüfen Sie die Wertdaten des Dateiwerts .

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System

Verschieben Ereignisanzeige Protokolldateien mithilfe von PowerShell

Es ist möglich, PowerShell für diesen Zweck zu verwenden. Im Beispiel werden Sicherheitsereignisprotokolle zu C:\Logs migriert:

$originalFolder = "$env:SystemRoot\system32\winevt\Logs"
$targetFolder = "C:\logs"
$logName = "Security"

$originalAcl = Get-Acl -Path $originalFolder -Audit -AllCentralAccessPolicies
Set-Acl -Path $targetFolder -AclObject $originalAcl -ClearCentralAccessPolicy
$targetAcl = Get-Acl -Path $targetFolder -Audit -AllCentralAccessPolicies
$targetAcl.SetOwner([System.Security.Principal.NTAccount]::new("SYSTEM"))

New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "AutoBackupLogFiles" -Value "1" -PropertyType "DWord"
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "Flags" -Value "1" -PropertyType "DWord"
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "File" -Value "$targetFolder\$logName.evtx"

References

Weitere Informationen zum Anzeigen und Verwalten von Protokollen im Ereignisanzeige finden Sie unter Löschen beschädigter Ereignisanzeige Protokolldateien. Wenn Sie mehr über allgemeine Ereignisanzeige nutzung erfahren möchten, wählen Sie in Ereignisanzeige das Menü Aktion und dann Hilfe aus.