Partager via


Comment déplacer des fichiers journaux de l’Observateur d’événements vers un autre emplacement

Cet article explique comment déplacer les fichiers journaux de l’Observateur d’événements Windows Server 2016 et Windows Server 2019 vers un autre emplacement sur le disque dur.

S’applique à : Windows Server 2016, Windows Server 2019
Numéro de base de connaissances d’origine : 315417

Résumé

Windows Server enregistre les événements dans les journaux suivants :

  • Journal des application

    Le journal des applications contient des événements enregistrés par des programmes. Les événements écrits dans le journal des applications sont déterminés par les développeurs du programme logiciel.

  • Journal de sécurité

    Le journal de sécurité contient des événements tels que des tentatives d’ouverture de session valides et non valides. Il contient également des événements liés à l’utilisation des ressources, par exemple lorsque vous créez, ouvrez ou supprimez des fichiers. Vous devez être connecté en tant qu’administrateur ou membre du groupe Administrateurs pour activer, utiliser et spécifier les événements enregistrés dans le journal de sécurité.

  • Journal système

    Le journal système contient des événements enregistrés par les composants système Windows. Ces événements sont prédéterminés par Windows.

  • Journal du service d’annuaire

    Le journal du service d’annuaire contient des événements liés à Active Directory. Ce journal est disponible uniquement sur les contrôleurs de domaine.

  • Journal du serveur DNS

    Le journal du serveur DNS contient des événements liés à la résolution des noms DNS vers ou à partir d’adresses IP (Internet Protocol). Ce journal est disponible uniquement sur les serveurs DNS.

  • Journal du service de réplication de fichiers

    Le journal du service de réplication de fichiers contient des événements enregistrés pendant le processus de réplication entre les contrôleurs de domaine. Ce journal est disponible uniquement sur les contrôleurs de domaine.

Par défaut, les fichiers journaux de l’Observateur d’événements utilisent l’extension .evt et se trouvent dans le dossier %SystemRoot%\System32\winevt\Logs .

Les informations de nom et d’emplacement du fichier journal sont stockées dans le Registre. Vous pouvez modifier ces informations pour modifier l’emplacement par défaut des fichiers journaux. Vous pouvez déplacer des fichiers journaux vers un autre emplacement si vous avez besoin d’un espace disque supplémentaire dans lequel consigner les données.

Créer un dossier de journal des événements dans un autre emplacement

Créez un dossier dans lequel vous souhaitez stocker les journaux d’événements dans votre lecteur local et attribuez des autorisations correctes. Voici la procédure à suivre :

  1. Créez un dossier (par exemple, C :\EventLogs).

  2. Cliquez avec le bouton droit sur le dossier et sélectionnez Propriétés.

  3. Sélectionnez l’onglet Sécurité , puis sélectionnez Avancé pour les autorisations spéciales ou les paramètres avancés.

    Note

    Le dossier a l’option « héritage » activée par défaut.

  4. Sélectionnez Modifier pour remplacer le propriétaire par SYSTEM, puis sélectionnez Désactiver l’héritage comme suit :

    Capture d’écran de la fenêtre Paramètres de sécurité avancés pour EventLogs.

    Vous serez invité à convertir ou à supprimer les autorisations héritées. Sélectionnez Convertir les autorisations héritées en autorisations explicites sur cet objet, et vous verrez les mêmes autorisations explicitement définies sur le dossier.

    Note

    Pour créer des sous-dossiers pour les journaux d’activité, vérifiez les entrées d’autorisation Remplacer toutes les entrées d’autorisation d’objet enfant par des entrées d’autorisations héritées de cette option d’objet . Les autorisations définies au niveau parent sont appliquées à tous les sous-dossiers et fichiers.

  5. Ajustez les autorisations afin que le dossier soit affecté aux autorisations appropriées et vérifiez l’application à la colonne. Ces autorisations doivent être identiques aux autorisations avancées du dossier par défaut (%SystemRoot%\System32\winevt\Logs) qui stocke les journaux de l’Observateur d’événements. Vérifiez que les utilisateurs authentifiés disposent uniquement de l’autorisation Lecture pour ce dossier et les sous-dossiers.

    Capture d’écran de la fenêtre Paramètres de sécurité avancés pour les journaux.

    Note

    Pour ajouter l’utilisateur EventLog , accédez à l’onglet Sécurité de la boîte de dialogue Propriétés et procédez comme suit :

    1. Sélectionnez Modifier l’ajout>.
    2. Sélectionnez Emplacements, sélectionnez le nom de l’ordinateur local, puis sélectionnez OK.
    3. Tapez NT SERVICE\EventLog dans Entrer les noms d’objets à sélectionner et sélectionner Vérifier les noms. Le nom doit être résolu en EventLog. Sélectionnez OK pour terminer.

    Vérifiez que le contrôle total est sélectionné sous Autorisations pour EventLog pour l’utilisateur EventLog .

Déplacer les fichiers journaux de l’Observateur d’événements vers un autre emplacement

Vous pouvez déplacer les fichiers journaux vers le dossier créé à l’aide de l’Observateur d’événements comme suit :

  1. Ouvrez l’Observateur d’événements.

  2. Cliquez avec le bouton droit sur le nom du journal (par exemple, Système) sous Journaux Windows dans le volet gauche, puis sélectionnez Propriétés.

  3. Remplacez la valeur du chemin d’accès du journal par l’emplacement du dossier créé et laissez le nom du fichier journal à la fin du chemin d’accès (par exemple, C :\EventLogs\System.evtx).

    Capture d’écran du journal Fenêtre Propriétés avec l’onglet Général ouvert.

  4. Sélectionnez Effacer le journal, puis sélectionnez Enregistrer et Effacer pour conserver les fichiers journaux d’événements dans un autre emplacement.

  5. Sélectionnez Appliquer>OK.

    Note

    Vérifiez le dossier vers lequel vous avez déplacé les journaux des événements. Si les journaux des événements ne se trouvent pas dans le dossier, redémarrez le système.

Vous pouvez vérifier que le chemin du journal a été mis à jour à l’aide de l’Éditeur du Registre. Par exemple, accédez au chemin d’accès du Registre suivant et vérifiez les données Valeur de la valeur fichier .

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System

Déplacer les fichiers journaux de l’Observateur d’événements à l’aide de PowerShell

Il est possible d’utiliser PowerShell à cet effet. Dans l’exemple, les journaux des événements de sécurité sont migrés vers C :\Logs :

$originalFolder = "$env:SystemRoot\system32\winevt\Logs"
$targetFolder = "C:\logs"
$logName = "Security"

$originalAcl = Get-Acl -Path $originalFolder -Audit -AllCentralAccessPolicies
Set-Acl -Path $targetFolder -AclObject $originalAcl -ClearCentralAccessPolicy
$targetAcl = Get-Acl -Path $targetFolder -Audit -AllCentralAccessPolicies
$targetAcl.SetOwner([System.Security.Principal.NTAccount]::new("SYSTEM"))

New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "AutoBackupLogFiles" -Value "1" -PropertyType "DWord"
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "Flags" -Value "1" -PropertyType "DWord"
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "File" -Value "$targetFolder\$logName.evtx"

References

Pour plus d’informations sur la façon d’afficher et de gérer les journaux dans l’Observateur d’événements, consultez Comment supprimer les fichiers journaux de l’Observateur d’événements endommagés. Pour en savoir plus sur l’utilisation générale de l’Observateur d’événements, sélectionnez le menu Action dans l’Observateur d’événements, puis sélectionnez Aide.