ログ ファイルイベント ビューアー別の場所に移動する方法

この記事では、Windows Server 2016 および Windows Server 2019 イベント ビューアーログ ファイルをハード ディスク上の別の場所に移動する方法について説明します。

適用対象: Windows Server 2016、Windows Server 2019
元の KB 番号: 315417

まとめ

Windows Server では、次のログにイベントが記録されます。

• アプリケーション ログ

  アプリケーション ログには、プログラムによってログに記録されるイベントが含まれています。 アプリケーション ログに書き込まれるイベントは、ソフトウェア プログラムの開発者によって決定されます。

• Security log

  セキュリティ ログには、有効なログオン試行や無効なログオン試行などのイベントが含まれています。 また、ファイルを作成、開く、削除する場合など、リソースの使用に関連するイベントも含まれます。 有効にする、使用する、およびセキュリティ ログに記録するイベントを指定するには、管理者または Administrators グループのメンバーとしてログオンする必要があります。

• システム ログ

  システム ログには、Windows システム コンポーネントによってログに記録されるイベントが含まれています。 これらのイベントは、Windows によって事前に定義されています。

• ディレクトリ サービス ログ

  ディレクトリ サービス ログには、Active Directory 関連のイベントが含まれています。 このログは、ドメイン コントローラーでのみ使用できます。

• DNS サーバー ログ

  DNS サーバー ログには、インターネット プロトコル (IP) アドレスとの間の DNS 名の解決に関連するイベントが含まれています。 このログは DNS サーバーでのみ使用できます。

• ファイル レプリケーション サービス ログ

  ファイル レプリケーション サービス ログには、ドメイン コントローラー間のレプリケーション プロセス中にログに記録されるイベントが含まれます。 このログは、ドメイン コントローラーでのみ使用できます。

既定では、イベント ビューアーログ ファイルは .evt 拡張子を使用し、%SystemRoot%\System32\winevt\Logs フォルダーにあります。

ログ ファイルの名前と場所の情報は、レジストリに格納されます。 この情報を編集して、ログ ファイルの既定の場所を変更できます。 データのログ記録に必要なディスク領域が増える必要がある場合は、ログ ファイルを別の場所に移動できます。

別の場所にイベント ログ フォルダーを作成する

イベント ログをローカル ドライブに格納するフォルダーを作成し、適切なアクセス許可を割り当てます。 次に手順を示します。

1. フォルダー (例: C:\EventLogs) を作成します。

2. フォルダーを右クリックし、 [プロパティ] をクリックします。

3. [セキュリティ] タブを選択し、特別なアクセス許可または詳細設定 [Advanced] を選択します。

   Note

   このフォルダーでは、既定で "継承" が有効になっています。

4. Change を選択して Owner を SYSTEM に変更し、次のように [可能な継承を選択します。

   

   継承されたアクセス許可を変換または削除するように求められます。 [継承されたアクセス許可 このオブジェクトに対する明示的なアクセス許可に変換するを選択すると、フォルダーに対して明示的に設定されたのと同じアクセス許可が表示されます。

   Note

   ログのサブフォルダーを作成するには、 このオブジェクトから継承可能なアクセス許可エントリを持つすべての子オブジェクトのアクセス許可エントリを置き換える オプションをオンにします。 親レベルで設定されたアクセス許可は、すべてのサブフォルダーとファイルに適用されます。

5. フォルダーに適切なアクセス許可が割り当てることができるようにアクセス許可を調整し、 Applies to 列を確認します。 これらのアクセス許可は、イベント ビューアー ログを格納する既定のフォルダー (%SystemRoot%\System32\winevt\Logs) の高度なアクセス許可と同じである必要があります。 Authenticated Usersにこのフォルダーとサブフォルダーに対するReadアクセス許可のみが付与されていることを確認。

   

   Note

   EventLog ユーザーを追加するには、プロパティ ダイアログ ボックスの Security タブに移動し、次の手順に従います。

   1. Edit>Add を選択します。
   2. Locationsを選択し、ローカル コンピューター名を選択し、OKを選択します。
   3. NT SERVICE\EventLogを選択するオブジェクト名を入力し名前のチェックを選択します。 名前は EventLog に解決する必要があります。 [OK] を選択して作業を終了します。

   EventLog ユーザーの Permissions for EventLog で Full Control が選択されていることを確認します。

ログ ファイルイベント ビューアー別の場所に移動する

次のようにイベント ビューアーを使用して、作成したフォルダーにログ ファイルを移動できます。

1. [イベント ビューアー] を開きます。

2. 左側のウィンドウの Windows Logs の下にあるログ名 (System など) を右クリックし、Properties を選択します。

3. Log パス値を作成したフォルダーの場所に変更し、ログ ファイル名をパスの末尾に残します (例: C:\EventLogs\System.evtx)。

   

4. Clear Log を選択し、保存とクリアを選択して、イベント ログ ファイルを別の場所に保持します。

5. [適用]>[OK] の順に選択します。

   Note

   イベント ログを移動したフォルダーを確認します。 イベント ログがフォルダーにない場合は、システムを再起動します。

レジストリ エディターを使用して、ログ パスが更新されたことを確認できます。 たとえば、次のレジストリ パスに移動し、File 値の Value データを確認します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System

Powershell を使用してログ ファイルイベント ビューアー移動する

この目的で PowerShell を利用できます。 このサンプルでは、 Security イベント ログが C:\Logs に移行されます。

$originalFolder = "$env:SystemRoot\system32\winevt\Logs"
$targetFolder = "C:\logs"
$logName = "Security"

$originalAcl = Get-Acl -Path $originalFolder -Audit -AllCentralAccessPolicies
Set-Acl -Path $targetFolder -AclObject $originalAcl -ClearCentralAccessPolicy
$targetAcl = Get-Acl -Path $targetFolder -Audit -AllCentralAccessPolicies
$targetAcl.SetOwner([System.Security.Principal.NTAccount]::new("SYSTEM"))

New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "AutoBackupLogFiles" -Value "1" -PropertyType "DWord"
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "Flags" -Value "1" -PropertyType "DWord"
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "File" -Value "$targetFolder\$logName.evtx"

関連情報

イベント ビューアーのログを表示および管理する方法の詳細については、「破損したイベント ビューアーログ ファイルを削除する方法を参照してください。 一般的なイベント ビューアーの使用方法の詳細については、イベント ビューアーで Action メニューを選択し、Help を選択します。