Jak przenieść pliki dziennika Podgląd zdarzeń do innej lokalizacji

  • Artykuł

W tym artykule opisano sposób przenoszenia plików dziennika Windows Server 2016 i Windows Server 2019 Podgląd zdarzeń do innej lokalizacji na dysku twardym.

Dotyczy: Windows Server 2016, Windows Server 2019
Oryginalny numer KB: 315417

Podsumowanie

System Windows Server rejestruje zdarzenia w następujących dziennikach:

  • Dziennik aplikacji

    Dziennik aplikacji zawiera zdarzenia rejestrowane przez programy. Zdarzenia zapisywane w dzienniku aplikacji są określane przez deweloperów programu.

  • Dziennik zabezpieczeń

    Dziennik zabezpieczeń zawiera zdarzenia, takie jak prawidłowe i nieprawidłowe próby logowania. Zawiera również zdarzenia związane z użyciem zasobów, na przykład podczas tworzenia, otwierania lub usuwania plików. Musisz być zalogowany jako administrator lub jako członek grupy Administratorzy, aby włączyć, użyć i określić, które zdarzenia są rejestrowane w dzienniku zabezpieczeń.

  • Dziennik systemu

    Dziennik systemowy zawiera zdarzenia rejestrowane przez składniki systemu Windows. Te zdarzenia są wstępnie określone przez system Windows.

  • Dziennik usługi katalogowej

    Dziennik usługi katalogowej zawiera zdarzenia związane z usługą Active Directory. Ten dziennik jest dostępny tylko na kontrolerach domeny.

  • Dziennik serwera DNS

    Dziennik serwera DNS zawiera zdarzenia związane z rozpoznawaniem nazw DNS do lub z adresów ip protokołu internetowego. Ten dziennik jest dostępny tylko na serwerach DNS.

  • Dziennik usługi replikacji plików

    Dziennik usługi replikacji plików zawiera zdarzenia rejestrowane podczas procesu replikacji między kontrolerami domeny. Ten dziennik jest dostępny tylko na kontrolerach domeny.

Domyślnie Podgląd zdarzeń pliki dziennika używają rozszerzenia .evt i znajdują się w folderze %SystemRoot%\System32\winevt\Logs.

Nazwa pliku dziennika i informacje o lokalizacji są przechowywane w rejestrze. Możesz edytować te informacje, aby zmienić domyślną lokalizację plików dziennika. Możesz przenieść pliki dziennika do innej lokalizacji, jeśli potrzebujesz więcej miejsca na dysku, w którym można rejestrować dane.

Tworzenie folderu dziennika zdarzeń w innej lokalizacji

Utwórz folder, w którym chcesz przechowywać dzienniki zdarzeń na dysku lokalnym i przypisz poprawne uprawnienia. W tym celu należy wykonać następujące czynności:

  1. Utwórz folder (na przykład C:\EventLogs).

  2. Kliknij prawym przyciskiem myszy folder i wybierz pozycję Właściwości.

  3. Wybierz kartę Zabezpieczenia , a następnie wybierz pozycję Zaawansowane , aby uzyskać specjalne uprawnienia lub ustawienia zaawansowane.

    Uwaga

    Folder ma domyślnie włączoną opcję "dziedziczenie".

  4. Wybierz pozycję Zmień , aby zmienić właściciela na SYSTEM, a następnie wybierz pozycję Wyłącz dziedziczenie w następujący sposób:

    Zrzut ekranu przedstawiający okno Zaawansowane ustawienia zabezpieczeń dla dzienników zdarzeń.

    Zostanie wyświetlony monit o przekonwertowanie lub usunięcie uprawnień dziedziczonych. Wybierz pozycję Konwertuj uprawnienia dziedziczone na jawne uprawnienia dla tego obiektu, a w folderze zostaną jawnie ustawione te same uprawnienia.

    Uwaga

    Aby utworzyć podfoldery dla dzienników, zaznacz opcję Zastąp wszystkie wpisy uprawnień obiektu podrzędnego wpisami uprawnień dziedzicznych z tego obiektu . Uprawnienia ustawione na poziomie nadrzędnym są stosowane do wszystkich podfolderów i plików.

  5. Dostosuj uprawnienia, aby folder miał przypisane odpowiednie uprawnienia, i sprawdź kolumnę Dotyczy . Te uprawnienia powinny być takie same jak uprawnienia zaawansowane folderu domyślnego (%SystemRoot%\System32\winevt\Logs), który przechowuje dzienniki Podgląd zdarzeń. Upewnij się, że uwierzytelnieni użytkownicy mają tylko uprawnienia do odczytu dla tego folderu i podfolderów.

    Zrzut ekranu przedstawiający okno Zaawansowane ustawienia zabezpieczeń dla dzienników.

    Uwaga

    Aby dodać użytkownika usługi EventLog , przejdź do karty Zabezpieczenia w oknie dialogowym właściwości i wykonaj następujące kroki:

    1. Wybierz pozycję Edytuj>dodaj.
    2. Wybierz pozycję Lokalizacje, wybierz nazwę komputera lokalnego, a następnie wybierz przycisk OK.
    3. Wpisz NT SERVICE\EventLog w polu Wprowadź nazwy obiektów do wybrania i wybierz pozycję Sprawdź nazwy. Nazwa powinna zostać rozpoznana jako EventLog. Wybierz przycisk OK , aby zakończyć.

    Upewnij się, że wybrano opcję Pełna kontrola w obszarze Uprawnienia dla dziennika zdarzeń dla użytkownika usługi EventLog .

Przenoszenie plików dziennika Podgląd zdarzeń do innej lokalizacji

Pliki dziennika można przenieść do utworzonego folderu przy użyciu Podgląd zdarzeń w następujący sposób:

  1. Otwórz Podgląd zdarzeń.

  2. Kliknij prawym przyciskiem myszy nazwę dziennika (na przykład System) w obszarze Dzienniki systemu Windows w okienku po lewej stronie i wybierz pozycję Właściwości.

  3. Zmień wartość ścieżki dziennika na lokalizację utworzonego folderu i pozostaw nazwę pliku dziennika na końcu ścieżki (na przykład C:\EventLogs\System.evtx).

    Zrzut ekranu przedstawiający okno Właściwości dziennika z otwartą kartą Ogólne.

  4. Wybierz pozycję Wyczyść dziennik, a następnie wybierz pozycję Zapisz i wyczyść , aby zachować pliki dziennika zdarzeń w innej lokalizacji.

  5. Wybierz pozycję Zastosuj>OK.

    Uwaga

    Sprawdź folder, do który przeniesiono dzienniki zdarzeń. Jeśli dzienniki zdarzeń nie znajdują się w folderze, uruchom ponownie system.

Możesz potwierdzić, że ścieżka dziennika została zaktualizowana przy użyciu Redaktor rejestru. Na przykład przejdź do następującej ścieżki rejestru i sprawdź dane wartościPlik .

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System

Przenoszenie plików dziennika Podgląd zdarzeń przy użyciu programu PowerShell

W tym celu można użyć programu PowerShell. W przykładzie dzienniki zdarzeń zabezpieczeń zostaną zmigrowane do C:\Logs:

$originalFolder = "$env:SystemRoot\system32\winevt\Logs"
$targetFolder = "C:\logs"
$logName = "Security"

$originalAcl = Get-Acl -Path $originalFolder -Audit -AllCentralAccessPolicies
Set-Acl -Path $targetFolder -AclObject $originalAcl -ClearCentralAccessPolicy
$targetAcl = Get-Acl -Path $targetFolder -Audit -AllCentralAccessPolicies
$targetAcl.SetOwner([System.Security.Principal.NTAccount]::new("SYSTEM"))

New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "AutoBackupLogFiles" -Value "1" -PropertyType "DWord"
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "Flags" -Value "1" -PropertyType "DWord"
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "File" -Value "$targetFolder\$logName.evtx"

Informacje

Aby uzyskać więcej informacji na temat wyświetlania dzienników i zarządzania nimi w Podgląd zdarzeń, zobacz Jak usunąć uszkodzone pliki dziennika Podgląd zdarzeń. Aby dowiedzieć się więcej na temat ogólnego użycia Podgląd zdarzeń, wybierz menu Akcja w Podgląd zdarzeń, a następnie wybierz pozycję Pomoc.