如何將記錄檔 事件檢視器 移至另一個位置

本文說明如何將 Windows Server 2016 和 Windows Server 2019 事件檢視器 記錄檔移至硬碟上的另一個位置。

適用於：Windows Server 2016、Windows Server 2019
原始 KB 編號： 315417

摘要

Windows Server 會在下列記錄中記錄事件：

• 應用程式記錄

  應用程式記錄檔包含程式所記錄的事件。 寫入應用程式記錄檔的事件取決於軟體程式的開發人員。

• 安全性記錄

  安全性記錄包含有效和無效登入嘗試等事件。 它也包含與資源使用相關的事件，例如，當您建立、開啟或刪除檔案時。 您必須以系統管理員或 Administrators 群組的成員身分登入，才能開啟、使用及指定要記錄在安全性記錄檔中的事件。

• 系統記錄

  系統記錄檔包含 Windows 系統元件所記錄的事件。 這些事件是由 Windows 預先決定。

• 目錄服務記錄

  目錄服務記錄包含 Active Directory 相關事件。 此記錄僅適用於域控制器。

• DNS 伺服器記錄

  DNS 伺服器記錄包含與解析因特網通訊協定 (IP) 位址之 DNS 名稱相關的事件。 此記錄僅適用於 DNS 伺服器。

• 檔案復寫服務記錄

  檔案復寫服務記錄檔包含在域控制器之間的複寫程式期間記錄的事件。 此記錄僅適用於域控制器。

根據預設，事件檢視器 記錄檔會使用 .evt 擴展名，且位於 %SystemRoot%\System32\winevt\Logs 資料夾中。

記錄檔名稱和位置資訊會儲存在登錄中。 您可以編輯此資訊來變更記錄檔的預設位置。 如果您需要更多磁碟空間來記錄數據，您可以將記錄檔移至另一個位置。

在另一個位置建立事件記錄檔資料夾

建立您想要在本機磁碟驅動器中儲存事件記錄檔的資料夾，並指派正確的許可權。 步驟如下：

1. 建立資料夾 (例如 C：\EventLogs) 。

2. 在資料夾上按一下滑鼠右鍵，然後選取 [內容]。

3. 選取 [ 安全性] 索引標籤，然後選取 [ 進 階] 以取得特殊許可權或進階設定。

   注意事項

   根據預設，資料夾已啟用「繼承」。

4. 選取 [變更 ] 將 [擁有者 ] 變更為 [系統]，然後選取 [ 停用繼承 ]，如下所示：

   

   系統會提示您轉換或移除繼承的許可權。 選取 [將繼承的許可權轉換為此對象的明確許可權]，您會看到資料夾上明確設定的相同許可權。

   注意事項

   若要建立記錄的子資料夾，請核取 [ 使用這個物件的可繼承許可權專案取代所有子物件 許可權專案] 選項。 父層級設定的許可權會套用至所有子資料夾和檔案。

5. 調整許可權，以便將正確的許可權指派給資料夾，然後檢查 [ 套用至] 資料 行。 這些許可權應該與儲存 事件檢視器 記錄的預設資料夾 %SystemRoot%\System32\winevt\Logs) (進階許可權相同。 請確定 [已驗證的使用者] 只有 [此資料夾和子資料夾] 的 [讀取] 許可權。

   

   注意事項

   若要新增 EventLog 使用者，請移至 [屬性] 對話方塊的 [ 安全 性] 索引卷標，並遵循下列步驟：

   1. 選取 [編輯>新增]。
   2. 選 取 [位置]，選取本機計算機名稱，然後選取 [ 確定]。
   3. 在 [輸入要選取的對象名稱] 中輸入 NT SERVICE\EventLog，然後選取 [檢查名稱]。 名稱應該解析為 EventLog。 選取 [確定 ] 以完成。

   請確定已在 EventLog 使用者的 EventLog 許可權下選取 [完全控制]。

將 事件檢視器 記錄檔移至另一個位置

您可以使用下列 事件檢視器，將記錄檔移至建立的資料夾：

1. 開啟 事件檢視器。

2. 以滑鼠右鍵單擊記錄檔名稱 (例如， 系統) 左窗格中的 [Windows 記錄 ] 底下，然後選取 [ 屬性]。

3. 將 [記錄路徑] 值變更為已建立資料夾的位置，並將記錄檔名稱保留在路徑結尾 (例如 C：\EventLogs\System.evtx) 。

   

4. 選 取 [清除記錄]，然後選取 [ 儲存] 和 [清除] ，將事件記錄檔保留在不同的位置。

5. 選取 [套用]> [確認]。

   注意事項

   檢查您移動事件記錄檔的資料夾。 如果事件記錄檔不在資料夾中，請重新啟動系統。

您可以使用登錄 編輯器 來確認記錄路徑已更新。 例如，移至下列登錄路徑，並檢查 [檔案] 值的 [值] 數據。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System

使用 Powershell 移動 事件檢視器 記錄檔

您可以利用 Powershell 來達到此目的。 在此範例中， 安全 性事件記錄檔將會移轉至 C：\Logs：

$originalFolder = "$env:SystemRoot\system32\winevt\Logs"
$targetFolder = "C:\logs"
$logName = "Security"

$originalAcl = Get-Acl -Path $originalFolder -Audit -AllCentralAccessPolicies
Set-Acl -Path $targetFolder -AclObject $originalAcl -ClearCentralAccessPolicy
$targetAcl = Get-Acl -Path $targetFolder -Audit -AllCentralAccessPolicies
$targetAcl.SetOwner([System.Security.Principal.NTAccount]::new("SYSTEM"))

New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "AutoBackupLogFiles" -Value "1" -PropertyType "DWord"
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "Flags" -Value "1" -PropertyType "DWord"
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "File" -Value "$targetFolder\$logName.evtx"

參考資料

如需如何在 事件檢視器 中檢視和管理記錄的詳細資訊，請參閱如何刪除損毀 事件檢視器 記錄檔。 若要深入瞭解一般 事件檢視器 使用方式，請選取 事件檢視器 中的 [動作] 功能表，然後選取 [說明]。