Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie Windows Server 2016 und Windows Server 2019 Ereignisanzeige Protokolldateien an einen anderen Speicherort auf der Festplatte verschieben.
Gilt für: Windows Server 2016, Windows Server 2019
Ursprüngliche KB-Nummer: 315417
Zusammenfassung
Windows Server zeichnet Ereignisse in den folgenden Protokollen auf:
Anwendungsprotokoll
Das Anwendungsprotokoll enthält Ereignisse, die von Programmen protokolliert werden. Ereignisse, die in das Anwendungsprotokoll geschrieben werden, werden von den Entwicklern des Softwareprogramms bestimmt.
Sicherheitsprotokoll
Das Sicherheitsprotokoll enthält Ereignisse wie gültige und ungültige Anmeldeversuche. Sie enthält auch Ereignisse, die sich auf die Ressourcenverwendung beziehen, z. B. beim Erstellen, Öffnen oder Löschen von Dateien. Sie müssen als Administrator oder Mitglied der Gruppe "Administratoren" angemeldet sein, um die Ereignisse im Sicherheitsprotokoll zu aktivieren, zu verwenden und anzugeben, welche Ereignisse im Sicherheitsprotokoll aufgezeichnet werden.
Systemprotokoll
Das Systemprotokoll enthält Ereignisse, die von Windows-Systemkomponenten protokolliert werden. Diese Ereignisse werden von Windows vorab festgelegt.
Verzeichnisdienstprotokoll
Das Verzeichnisdienstprotokoll enthält Active Directory-bezogene Ereignisse. Dieses Protokoll ist nur auf Domänencontrollern verfügbar.
DNS-Serverprotokoll
Das DNS-Serverprotokoll enthält Ereignisse, die mit der Auflösung von DNS-Namen in oder von IP-Adressen (Internet Protocol) zusammenhängen. Dieses Protokoll ist nur auf DNS-Servern verfügbar.
Dateireplikationsdienstprotokoll
Das Dateireplikationsdienstprotokoll enthält Ereignisse, die während des Replikationsprozesses zwischen Domänencontrollern protokolliert werden. Dieses Protokoll ist nur auf Domänencontrollern verfügbar.
Standardmäßig verwenden Ereignisanzeige Protokolldateien die ERWEITERUNG EVT und befinden sich im Ordner "%SystemRoot%\System32\winevt\Logs".
Protokolldateiname und Speicherortinformationen werden in der Registrierung gespeichert. Sie können diese Informationen bearbeiten, um den Standardspeicherort der Protokolldateien zu ändern. Sie können Protokolldateien an einen anderen Speicherort verschieben, wenn Sie mehr Speicherplatz benötigen, in dem Daten protokolliert werden sollen.
Erstellen eines Ereignisprotokollordners an einem anderen Speicherort
Erstellen Sie einen Ordner, in dem Sie die Ereignisprotokolle auf Ihrem lokalen Laufwerk speichern möchten, und weisen Sie die richtigen Berechtigungen zu. Im Folgenden werden die Schritte aufgeführt:
Erstellen Sie einen Ordner (z. B. C:\EventLogs).
Klicken Sie mit der rechten Maustaste auf den Ordner, und wählen Sie Eigenschaftenaus.
Wählen Sie die Registerkarte "Sicherheit " und dann " Erweitert" für spezielle Berechtigungen oder erweiterte Einstellungen aus.
Notiz
Der Ordner hat standardmäßig "Vererbung" aktiviert.
Wählen Sie "Ändern" aus, um den Besitzer in SYSTEM zu ändern, und wählen Sie dann "Vererbung deaktivieren" wie folgt aus:
Sie werden aufgefordert, geerbte Berechtigungen zu konvertieren oder zu entfernen. Wählen Sie "Geerbte Berechtigungen konvertieren" in explizite Berechtigungen für dieses Objekt aus, und Sie sehen die gleichen Berechtigungen, die explizit für den Ordner festgelegt wurden.
Notiz
Um Unterordner für die Protokolle zu erstellen, überprüfen Sie die Berechtigungseinträge aller untergeordneten Objekte durch vererbbare Berechtigungseinträge aus dieser Objektoption . Die auf der übergeordneten Ebene festgelegten Berechtigungen werden auf alle Unterordner und Dateien angewendet.
Passen Sie Berechtigungen an, damit dem Ordner die richtigen Berechtigungen zugewiesen sind, und überprüfen Sie die Option "Gilt für Spalte". Diese Berechtigungen sollten mit den erweiterten Berechtigungen des Standardordners (%SystemRoot%\System32\winevt\Logs) übereinstimmen, der die Ereignisanzeige Protokolle speichert. Stellen Sie sicher, dass die authentifizierten Benutzer nur über Leseberechtigungen für diesen Ordner und Unterordner verfügen.
Notiz
Um den EventLog-Benutzer hinzuzufügen, wechseln Sie zur Registerkarte "Sicherheit " des Dialogfelds "Eigenschaften", und führen Sie die folgenden Schritte aus:
- Wählen Sie "Hinzufügen bearbeiten" aus>.
- Wählen Sie "Speicherorte" aus, wählen Sie den Namen des lokalen Computers und dann "OK" aus.
- Geben Sie NT SERVICE\EventLog in die Objektnamen ein, um die Namen auszuwählen und zu aktivieren. Der Name sollte in EventLog aufgelöst werden. Klicken Sie auf OK, um den Vorgang abzuschließen.
Stellen Sie sicher, dass "Vollzugriff" unter "Berechtigungen für EventLog" für den EventLog-Benutzer ausgewählt ist.
Verschieben Ereignisanzeige Protokolldateien an einen anderen Speicherort
Sie können die Protokolldateien mithilfe der Ereignisanzeige wie folgt in den erstellten Ordner verschieben:
Öffnen Sie die Ereignisanzeige.
Klicken Sie mit der rechten Maustaste auf den Protokollnamen (z. B. "System") unter Windows-Protokollen im linken Bereich, und wählen Sie "Eigenschaften" aus.
Ändern Sie den Wert des Protokollpfads in den Speicherort des erstellten Ordners, und lassen Sie den Namen der Protokolldatei am Ende des Pfads (z . B. C:\EventLogs\System.evtx).
Wählen Sie "Protokoll löschen" und dann "Speichern" und " Löschen " aus, um die Ereignisprotokolldateien an einem anderen Speicherort beizubehalten.
Wählen Sie Anwenden>OK aus.
Notiz
Überprüfen Sie den Ordner, in den Sie die Ereignisprotokolle verschoben haben. Wenn sich die Ereignisprotokolle nicht im Ordner befinden, starten Sie das System neu.
Sie können bestätigen, dass der Protokollpfad mithilfe des Registrierungs-Editors aktualisiert wurde. Wechseln Sie beispielsweise zum folgenden Registrierungspfad, und überprüfen Sie die Wertdaten des Dateiwerts .
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System
Verschieben Ereignisanzeige Protokolldateien mithilfe von PowerShell
Es ist möglich, Powershell für diesen Zweck zu nutzen. Im Beispiel werden Sicherheitsereignisprotokolle zu "C:\Logs" migriert:
$originalFolder = "$env:SystemRoot\system32\winevt\Logs"
$targetFolder = "C:\logs"
$logName = "Security"
$originalAcl = Get-Acl -Path $originalFolder -Audit -AllCentralAccessPolicies
Set-Acl -Path $targetFolder -AclObject $originalAcl -ClearCentralAccessPolicy
$targetAcl = Get-Acl -Path $targetFolder -Audit -AllCentralAccessPolicies
$targetAcl.SetOwner([System.Security.Principal.NTAccount]::new("SYSTEM"))
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "AutoBackupLogFiles" -Value "1" -PropertyType "DWord"
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "Flags" -Value "1" -PropertyType "DWord"
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "File" -Value "$targetFolder\$logName.evtx"
References
Weitere Informationen zum Anzeigen und Verwalten von Protokollen im Ereignisanzeige finden Sie unter "Löschen beschädigter Ereignisanzeige Protokolldateien". Wenn Sie mehr über die allgemeine Ereignisanzeige Nutzung erfahren möchten, wählen Sie das Menü "Aktion" in Ereignisanzeige aus, und wählen Sie dann "Hilfe" aus.