Перемещение файлов журнала Просмотр событий в другое расположение

В этой статье описывается перемещение файлов журнала Windows Server 2016 и Windows Server 2019 Просмотр событий в другое расположение на жестком диске.

Область применения: Windows Server 2016, Windows Server 2019
Исходный номер базы знаний: 315417

Сводка

Windows Server записывает события в следующие журналы:

• Журнал приложений

  Журнал приложений содержит события, которые регистрируются программами. События, записываемые в журнал приложений, определяются разработчиками программного обеспечения.

• Журнал безопасности

  Журнал безопасности содержит такие события, как допустимые и недопустимые попытки входа. Он также содержит события, связанные с использованием ресурсов, например при создании, открытии или удалении файлов. Чтобы включить, использовать и указать, какие события записываются в журнал безопасности, необходимо войти в систему как администратор или как член группы администраторов.

• Системный журнал

  Системный журнал содержит события, которые регистрируются системными компонентами Windows. Эти события предопределены Windows.

• Журнал службы каталогов

  Журнал службы каталогов содержит события, связанные с Active Directory. Этот журнал доступен только на контроллерах домена.

• Журнал DNS-сервера

  Журнал DNS-сервера содержит события, связанные с разрешением DNS-имен на IP-адреса или из них. Этот журнал доступен только на DNS-серверах.

• Журнал службы репликации файлов

  Журнал службы репликации файлов содержит события, которые регистрируются в процессе репликации между контроллерами домена. Этот журнал доступен только на контроллерах домена.

По умолчанию файлы журнала Просмотр событий используют расширение EVT и находятся в папке %SystemRoot%\System32\winevt\Logs.

Имя файла журнала и сведения о расположении хранятся в реестре. Эти сведения можно изменить, чтобы изменить расположение файлов журнала по умолчанию. Если требуется больше места на диске для записи данных, может потребоваться переместить файлы журнала в другое место.

Создание папки журнала событий в другом расположении

Создайте папку, в которой вы хотите хранить журналы событий на локальном диске, и назначьте правильные разрешения. Эти этапы описаны ниже.

1. Создайте папку (например, C:\EventLogs).

2. Щелкните ее правой кнопкой мыши и выберите пункт Свойства.

3. Перейдите на вкладку Безопасность , а затем выберите Дополнительно для специальных разрешений или дополнительных параметров.

   Примечание.

   В папке по умолчанию включено наследование.

4. Выберите Изменить , чтобы изменить владельца на SYSTEM, а затем выберите Отключить наследование следующим образом:

   

   Вам будет предложено преобразовать или удалить унаследованные разрешения. Выберите Преобразовать унаследованные разрешения в явные разрешения для этого объекта, и вы увидите те же разрешения, явно заданные для папки.

   Примечание.

   Чтобы создать вложенные папки для журналов, проверка параметр Заменить все записи разрешений дочернего объекта на наследуемые разрешения из этого объекта. Разрешения, заданные на родительском уровне, применяются ко всем вложенным папкам и файлам.

5. Настройте разрешения таким образом, чтобы папке были назначены правильные разрешения, и проверка столбец Применимо к. Эти разрешения должны совпадать с расширенными разрешениями папки по умолчанию (%SystemRoot%\System32\winevt\Logs), в которую хранятся журналы Просмотр событий. Убедитесь, что пользователи, прошедшие проверку подлинности , имеют разрешение на чтение только для этой папки и вложенных папок.

   

   Примечание.

   Чтобы добавить пользователя EventLog , перейдите на вкладку Безопасность диалогового окна свойств и выполните следующие действия.

   1. Выберите Изменить>добавить.
   2. Выберите Расположения, выберите имя локального компьютера и нажмите кнопку ОК.
   3. Введите NT SERVICE\EventLog в поле Введите имена объектов для выбора и выберите Проверить имена. Имя должно быть разрешено в EventLog. Нажмите кнопку ОК , чтобы завершить работу.

   Убедитесь, что в разделе Разрешения для EventLog для пользователя EventLog выбран параметр Полный доступ.

Перемещение файлов журнала Просмотр событий в другое расположение

Файлы журнала можно переместить в созданную папку с помощью Просмотр событий следующим образом:

1. Откройте Просмотр событий.

2. Щелкните правой кнопкой мыши имя журнала (например, Система) в разделе Журналы Windows в левой области и выберите Свойства.

3. Измените значение пути к журналу на расположение созданной папки и оставьте имя файла журнала в конце пути (например, C:\EventLogs\System.evtx).

   

4. Выберите Очистить журнал, а затем выберите Сохранить и Очистить , чтобы сохранить файлы журнала событий в другом расположении.

5. Нажмите Применить>OK.

   Примечание.

   Проверьте папку, в нее перемещены журналы событий. Если журналов событий нет в папке, перезапустите систему.

Вы можете убедиться, что путь к журналу обновлен, используя Редактор реестра. Например, перейдите по следующему пути к реестру и проверка данные значенияфайла.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System

Перемещение файлов журнала Просмотр событий с помощью PowerShell

Для этой цели можно использовать PowerShell. В этом примере журналы событий безопасности будут перенесены в C:\Logs:

$originalFolder = "$env:SystemRoot\system32\winevt\Logs"
$targetFolder = "C:\logs"
$logName = "Security"

$originalAcl = Get-Acl -Path $originalFolder -Audit -AllCentralAccessPolicies
Set-Acl -Path $targetFolder -AclObject $originalAcl -ClearCentralAccessPolicy
$targetAcl = Get-Acl -Path $targetFolder -Audit -AllCentralAccessPolicies
$targetAcl.SetOwner([System.Security.Principal.NTAccount]::new("SYSTEM"))

New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "AutoBackupLogFiles" -Value "1" -PropertyType "DWord"
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "Flags" -Value "1" -PropertyType "DWord"
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "File" -Value "$targetFolder\$logName.evtx"

Ссылки

Дополнительные сведения о просмотре журналов и управлении ими в Просмотр событий см. в статье Удаление поврежденных файлов журнала Просмотр событий. Чтобы узнать больше об общем использовании Просмотр событий, выберите меню Действие в Просмотр событий, а затем выберите Справка.