Condividi tramite

Come spostare Visualizzatore eventi file di log in un'altra posizione

Questo articolo descrive come spostare Windows Server 2016 e Windows Server 2019 Visualizzatore eventi file di log in un altro percorso sul disco rigido.

Si applica a: Windows Server 2016, Windows Server 2019
Numero KB originale: 315417

Riepilogo

Windows Server registra gli eventi nei log seguenti:

  • Registro applicazioni

    Il registro applicazioni contiene eventi registrati dai programmi. Gli eventi scritti nel registro applicazioni sono determinati dagli sviluppatori del programma software.

  • Registro di sicurezza

    Il log di sicurezza contiene eventi quali tentativi di accesso validi e non validi. Contiene anche eventi correlati all'uso delle risorse, ad esempio quando si creano, si aprono o si eliminano file. È necessario essere connessi come amministratore o come membro del gruppo Administrators per attivare, usare e per specificare gli eventi registrati nel log di sicurezza.

  • Registro di sistema

    Il log di sistema contiene eventi registrati dai componenti di sistema di Windows. Questi eventi sono predeterminati da Windows.

  • Log del servizio directory

    Il log del servizio directory contiene eventi correlati ad Active Directory. Questo log è disponibile solo nei controller di dominio.

  • Log del server DNS

    Il log del server DNS contiene eventi correlati alla risoluzione dei nomi DNS da o verso indirizzi IP (Internet Protocol). Questo log è disponibile solo nei server DNS.

  • Log del servizio replica file

    Il log del servizio Replica file contiene eventi registrati durante il processo di replica tra controller di dominio. Questo log è disponibile solo nei controller di dominio.

Per impostazione predefinita, Visualizzatore eventi file di log usano l'estensione evt e si trovano nella cartella %SystemRoot%\System32\winevt\Logs.

Le informazioni relative al nome e al percorso del file di log vengono archiviate nel Registro di sistema. È possibile modificare queste informazioni per modificare il percorso predefinito dei file di log. È possibile spostare i file di log in un'altra posizione se è necessario più spazio su disco in cui registrare i dati.

Creare una cartella del registro eventi in un'altra posizione

Creare una cartella in cui archiviare i registri eventi nell'unità locale e assegnare autorizzazioni corrette. Di seguito sono riportati i passaggi:

  1. Creare una cartella , ad esempio C:\EventLogs.

  2. Fare clic con il pulsante destro del mouse sulla cartella e scegliere Proprietà.

  3. Selezionare la scheda Sicurezza e quindi selezionare Avanzate per autorizzazioni speciali o impostazioni avanzate.

    Note

    La cartella ha "ereditarietà" abilitata per impostazione predefinita.

  4. Selezionare Cambia per modificare il proprietario in SYSTEM e quindi selezionare Disabilita ereditarietà come indicato di seguito:

    Screenshot della finestra Impostazioni di sicurezza avanzate per EventLogs.

    Verrà richiesto di convertire o rimuovere autorizzazioni ereditate. Selezionare Converti autorizzazioni ereditate in autorizzazioni esplicite per questo oggetto e nella cartella verranno visualizzate le stesse autorizzazioni impostate in modo esplicito.

    Note

    Per creare sottocartelle per i log, selezionare l'opzione Sostituisci tutte le voci di autorizzazione dell'oggetto figlio con le voci di autorizzazioni ereditabili da questo oggetto . Le autorizzazioni impostate a livello padre vengono applicate a tutte le sottocartelle e i file.

  5. Modificare le autorizzazioni in modo che alla cartella vengano assegnate le autorizzazioni corrette e selezionare la colonna Si applica alla colonna . Queste autorizzazioni devono corrispondere alle autorizzazioni avanzate della cartella predefinita (%SystemRoot%\System32\winevt\Logs) che archivia i log di Visualizzatore eventi. Assicurarsi che gli utenti autenticati dispongano solo dell'autorizzazione lettura per questa cartella e sottocartelle.

    Screenshot della finestra Impostazioni di sicurezza avanzate per i log.

    Note

    Per aggiungere l'utente EventLog , passare alla scheda Sicurezza della finestra di dialogo proprietà e seguire questa procedura:

    1. Selezionare Modifica>aggiungi.
    2. Selezionare Percorsi, selezionare il nome del computer locale e quindi selezionare OK.
    3. Digitare NT SERVICE\EventLog in Immettere i nomi degli oggetti da selezionare e selezionare Controlla nomi. Il nome deve essere risolto in EventLog. Al termine selezionare OK.

    Assicurarsi che l'opzione Controllo completo sia selezionata in Autorizzazioni per EventLog per l'utente EventLog .

Spostare Visualizzatore eventi file di log in un altro percorso

È possibile spostare i file di log nella cartella creata usando il Visualizzatore eventi come indicato di seguito:

  1. Aprire il Visualizzatore eventi.

  2. Fare clic con il pulsante destro del mouse sul nome del log (ad esempio, Sistema) in Log di Windows nel riquadro sinistro e scegliere Proprietà.

  3. Modificare il valore Percorso log nel percorso della cartella creata e lasciare il nome del file di log alla fine del percorso, ad esempio C:\EventLogs\System.evtx.

    Screenshot del Finestra Proprietà Log con la scheda Generale aperta.

  4. Selezionare Cancella log e quindi salva e cancella per conservare i file del registro eventi in un percorso diverso.

  5. Selezionare Applica>OK.

    Note

    Controllare la cartella in cui sono stati spostati i registri eventi. Se i registri eventi non si trovano nella cartella, riavviare il sistema.

È possibile verificare che il percorso del log sia stato aggiornato tramite l'editor del Registro di sistema. Ad esempio, passare al percorso del Registro di sistema seguente e controllare i dati valore del valore file.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System

Spostare Visualizzatore eventi file di log usando PowerShell

A questo scopo, è possibile usare PowerShell. Nell'esempio i log eventi di sicurezza verranno migrati a C:\Logs:

$originalFolder = "$env:SystemRoot\system32\winevt\Logs"
$targetFolder = "C:\logs"
$logName = "Security"

$originalAcl = Get-Acl -Path $originalFolder -Audit -AllCentralAccessPolicies
Set-Acl -Path $targetFolder -AclObject $originalAcl -ClearCentralAccessPolicy
$targetAcl = Get-Acl -Path $targetFolder -Audit -AllCentralAccessPolicies
$targetAcl.SetOwner([System.Security.Principal.NTAccount]::new("SYSTEM"))

New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "AutoBackupLogFiles" -Value "1" -PropertyType "DWord"
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "Flags" -Value "1" -PropertyType "DWord"
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "File" -Value "$targetFolder\$logName.evtx"

Riferimenti

Per altre informazioni su come visualizzare e gestire i log nel Visualizzatore eventi, vedere Come eliminare i file di log danneggiati Visualizzatore eventi. Per altre informazioni sull'utilizzo generale Visualizzatore eventi, selezionare il menu Azione in Visualizzatore eventi e quindi selezionare Guida.