ログ ファイルイベント ビューアー別の場所に移動する方法
この記事では、Windows Server 2016と Windows Server 2019 イベント ビューアーログ ファイルをハード ディスク上の別の場所に移動する方法について説明します。
適用対象: Windows Server 2016、Windows Server 2019
元の KB 番号: 315417
概要
Windows Server では、次のログにイベントが記録されます。
アプリケーション ログ
アプリケーション ログには、プログラムによってログに記録されるイベントが含まれています。 アプリケーション ログに書き込まれるイベントは、ソフトウェア プログラムの開発者によって決定されます。
セキュリティ ログ
セキュリティ ログには、有効なログオン試行や無効なログオン試行などのイベントが含まれています。 また、ファイルの作成、開き、削除など、リソースの使用に関連するイベントも含まれます。 セキュリティ ログに記録するイベントをオンにしたり、使用したり、指定したりするには、管理者または Administrators グループのメンバーとしてログオンする必要があります。
システム ログ
システム ログには、Windows システム コンポーネントによってログに記録されるイベントが含まれています。 これらのイベントは、Windows によって事前に定義されています。
ディレクトリ サービス ログ
ディレクトリ サービス ログには、Active Directory 関連のイベントが含まれています。 このログはドメイン コントローラーでのみ使用できます。
DNS サーバー ログ
DNS サーバー ログには、インターネット プロトコル (IP) アドレスとの間の DNS 名の解決に関連するイベントが含まれています。 このログは DNS サーバーでのみ使用できます。
ファイル レプリケーション サービス ログ
ファイル レプリケーション サービス ログには、ドメイン コントローラー間のレプリケーション プロセス中にログに記録されるイベントが含まれています。 このログはドメイン コントローラーでのみ使用できます。
既定では、イベント ビューアーログ ファイルは .evt 拡張子を使用し、%SystemRoot%\System32\winevt\Logs フォルダーにあります。
ログ ファイルの名前と場所の情報は、レジストリに格納されます。 この情報を編集して、ログ ファイルの既定の場所を変更できます。 データのログ記録に必要なディスク領域を増やす必要がある場合は、ログ ファイルを別の場所に移動できます。
別の場所にイベント ログ フォルダーを作成する
ローカル ドライブにイベント ログを格納し、適切なアクセス許可を割り当てるフォルダーを作成します。 それらのステップは次のとおりです。
フォルダー ( C:\EventLogs など) を作成します。
フォルダーを右クリックし、[プロパティ] をクリックします。
[ セキュリティ ] タブを選択し、特別なアクセス許可または詳細設定の [詳細設定 ] を選択します。
注:
フォルダーには、既定で "継承" が有効になっています。
[ 変更 ] を選択して 所有者 を SYSTEM に変更し、次のように [ 継承を無効にする ] を選択します。
継承されたアクセス許可を変換または削除するように求められます。 [ 継承されたアクセス許可をこのオブジェクトの明示的なアクセス許可に変換する] を選択すると、フォルダーに明示的に設定されたのと同じアクセス許可が表示されます。
注:
ログのサブフォルダーを作成するには、[すべての子オブジェクトのアクセス許可エントリをこのオブジェクトから継承可能なアクセス許可エントリに置き換える] オプションをチェックします。 親レベルで設定されたアクセス許可は、すべてのサブフォルダーとファイルに適用されます。
フォルダーに適切なアクセス許可が割り当てられ、[適用先] 列がチェックされるようにアクセス許可を調整します。 これらのアクセス許可は、イベント ビューアー ログを格納する既定のフォルダー (%SystemRoot%\System32\winevt\Logs) の高度なアクセス許可と同じである必要があります。 認証されたユーザーが、このフォルダーとサブフォルダーの読み取りアクセス許可のみを持っていることを確認します。
注:
EventLog ユーザーを追加するには、プロパティ ダイアログ ボックスの [セキュリティ] タブに移動し、次の手順に従います。
- [追加の編集] を選択します>。
- [ 場所] を選択し、ローカル コンピューター名を選択し、[ OK] を選択します。
- 「 NT SERVICE\EventLog 」と 入力します。選択するオブジェクト名を入力し 、[ 名前の確認] を選択します。 名前は EventLog に解決する必要があります。 [ OK] を選択 して完了します。
[EventLog ユーザーの EventLog のアクセス許可] で [フル コントロール] が選択されていることを確認します。
ログ ファイルイベント ビューアー別の場所に移動する
次のようにイベント ビューアーを使用して、作成したフォルダーにログ ファイルを移動できます。
イベント ビューアーを開きます。
左側のウィンドウの [Windows ログ] の下にあるログ名 (システムなど) を右クリックし、[プロパティ] を選択します。
[ログ パス] の値を作成したフォルダーの場所に変更し、ログ ファイル名をパスの末尾のままにします (例: C:\EventLogs\System.evtx)。
[ ログのクリア] を選択し、[ 保存] と [クリア ] を選択して、イベント ログ ファイルを別の場所に保持します。
[適用]>[OK] の順に選択します。
注:
イベント ログを移動したフォルダーを確認します。 イベント ログがフォルダーにない場合は、システムを再起動します。
ログ パスが更新されたことを確認するには、レジストリ エディターを使用します。 たとえば、次のレジストリ パスに移動し、File値の Value データをチェックします。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System
Powershell を使用してログ ファイルイベント ビューアー移動する
この目的で PowerShell を利用できます。 このサンプルでは、 セキュリティ イベント ログが C:\Logs に移行されます。
$originalFolder = "$env:SystemRoot\system32\winevt\Logs"
$targetFolder = "C:\logs"
$logName = "Security"
$originalAcl = Get-Acl -Path $originalFolder -Audit -AllCentralAccessPolicies
Set-Acl -Path $targetFolder -AclObject $originalAcl -ClearCentralAccessPolicy
$targetAcl = Get-Acl -Path $targetFolder -Audit -AllCentralAccessPolicies
$targetAcl.SetOwner([System.Security.Principal.NTAccount]::new("SYSTEM"))
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "AutoBackupLogFiles" -Value "1" -PropertyType "DWord"
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "Flags" -Value "1" -PropertyType "DWord"
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "File" -Value "$targetFolder\$logName.evtx"
関連情報
イベント ビューアーでログを表示および管理する方法の詳細については、「破損したイベント ビューアーログ ファイルを削除する方法」を参照してください。 一般的なイベント ビューアーの使用方法の詳細については、イベント ビューアーの [アクション] メニューを選択し、[ヘルプ] を選択します。