Przeczytaj w języku angielskim

Udostępnij za pośrednictwem

Jak przenieść pliki dziennika Podgląd zdarzeń do innej lokalizacji

  • Artykuł
  • 15.01.2025

W tym artykule opisano sposób przenoszenia plików dziennika systemu Windows Server 2016 i Windows Server 2019 Podgląd zdarzeń do innej lokalizacji na dysku twardym.

Dotyczy: Windows Server 2016, Windows Server 2019
Oryginalny numer KB: 315417

Podsumowanie

System Windows Server rejestruje zdarzenia w następujących dziennikach:

  • Dziennik aplikacji

    Dziennik aplikacji zawiera zdarzenia rejestrowane przez programy. Zdarzenia zapisywane w dzienniku aplikacji są określane przez deweloperów programu programowego.

  • Dziennik zabezpieczeń

    Dziennik zabezpieczeń zawiera zdarzenia, takie jak prawidłowe i nieprawidłowe próby logowania. Zawiera również zdarzenia związane z użyciem zasobów, na przykład podczas tworzenia, otwierania lub usuwania plików. Musisz być zalogowany jako administrator lub jako członek grupy Administratorzy, aby włączyć, używać i określić, które zdarzenia są rejestrowane w dzienniku zabezpieczeń.

  • Dziennik systemu

    Dziennik systemu zawiera zdarzenia rejestrowane przez składniki systemu Windows. Te zdarzenia są wstępnie określone przez system Windows.

  • Dziennik usługi katalogowej

    Dziennik usługi katalogowej zawiera zdarzenia związane z usługą Active Directory. Ten dziennik jest dostępny tylko na kontrolerach domeny.

  • Dziennik serwera DNS

    Dziennik serwera DNS zawiera zdarzenia związane z rozpoznawaniem nazw DNS do lub z adresów protokołu internetowego (IP). Ten dziennik jest dostępny tylko na serwerach DNS.

  • Dziennik usługi replikacji plików

    Dziennik usługi replikacji plików zawiera zdarzenia rejestrowane podczas procesu replikacji między kontrolerami domeny. Ten dziennik jest dostępny tylko na kontrolerach domeny.

Domyślnie pliki dziennika Podgląd zdarzeń używają rozszerzenia evt i znajdują się w folderze %SystemRoot%\System32\winevt\Logs.

Nazwa pliku dziennika i informacje o lokalizacji są przechowywane w rejestrze. Te informacje można edytować, aby zmienić domyślną lokalizację plików dziennika. Możesz przenieść pliki dziennika do innej lokalizacji, jeśli potrzebujesz więcej miejsca na dysku, w którym mają być rejestrowane dane.

Tworzenie folderu dziennika zdarzeń w innej lokalizacji

Utwórz folder, w którym chcesz przechowywać dzienniki zdarzeń na dysku lokalnym i przypisz odpowiednie uprawnienia. Oto konkretne kroki:

  1. Utwórz folder (na przykład C:\EventLogs).

  2. Kliknij prawym przyciskiem myszy folder i wybierz polecenie Właściwości.

  3. Wybierz kartę Zabezpieczenia , a następnie wybierz pozycję Zaawansowane , aby uzyskać specjalne uprawnienia lub ustawienia zaawansowane.

    Uwaga

    Folder ma domyślnie włączone "dziedziczenie".

  4. Wybierz pozycję Zmień, aby zmienić właściciela na SYSTEM, a następnie wybierz pozycję Wyłącz dziedziczenie w następujący sposób:

    Zrzut ekranu przedstawiający okno Ustawienia zabezpieczeń zaawansowanych dla dzienników zdarzeń.

    Zostanie wyświetlony monit o przekonwertowanie lub usunięcie odziedziczonych uprawnień. Wybierz pozycję Konwertuj uprawnienia dziedziczone na jawne uprawnienia dla tego obiektu i zobaczysz te same uprawnienia jawnie ustawione w folderze.

    Uwaga

    Aby utworzyć podfoldery dla dzienników, zaznacz opcję Zamień wszystkie wpisy uprawnień obiektu podrzędnego z dziedziczynymi wpisami uprawnień z tego obiektu . Uprawnienia ustawione na poziomie nadrzędnym są stosowane do wszystkich podfolderów i plików.

  5. Dostosuj uprawnienia, aby folder został przypisany do odpowiednich uprawnień i zaznacz kolumnę Dotyczy . Te uprawnienia powinny być takie same jak uprawnienia zaawansowane folderu domyślnego (%SystemRoot%\System32\winevt\Logs), który przechowuje dzienniki Podgląd zdarzeń. Upewnij się, że uwierzytelnieni użytkownicy mają uprawnienia tylko do odczytu dla tego folderu i podfolderów.

    Zrzut ekranu przedstawiający okno Ustawienia zabezpieczeń zaawansowanych dla dzienników.

    Uwaga

    Aby dodać użytkownika usługi EventLog , przejdź do karty Zabezpieczenia okna dialogowego właściwości i wykonaj następujące kroki:

    1. Wybierz pozycję Edytuj>dodaj.
    2. Wybierz pozycję Lokalizacje, wybierz nazwę komputera lokalnego, a następnie wybierz przycisk OK.
    3. Wpisz NT SERVICE\EventLog w wprowadź nazwy obiektów do wybrania i wybierz pozycję Sprawdź nazwy. Nazwa powinna być rozpoznawana jako EventLog. Wybierz przycisk OK, aby zakończyć.

    Upewnij się, że w obszarze Uprawnienia dziennika zdarzeń dla użytkownika EventLog wybrano opcję Pełna kontrola.

Przenoszenie plików dziennika Podgląd zdarzeń do innej lokalizacji

Pliki dziennika można przenieść do utworzonego folderu przy użyciu Podgląd zdarzeń w następujący sposób:

  1. Otwórz narzędzie Podgląd zdarzeń.

  2. Kliknij prawym przyciskiem myszy nazwę dziennika (na przykład System) w obszarze Dzienniki systemu Windows w okienku po lewej stronie i wybierz pozycję Właściwości.

  3. Zmień wartość ścieżki dziennika na lokalizację utworzonego folderu i pozostaw nazwę pliku dziennika na końcu ścieżki (na przykład C:\EventLogs\System.evtx).

    Zrzut ekranu przedstawiający okno Właściwości dziennika z otwartą kartą Ogólne.

  4. Wybierz pozycję Wyczyść dziennik, a następnie wybierz pozycję Zapisz i wyczyść , aby zachować pliki dziennika zdarzeń w innej lokalizacji.

  5. Wybierz pozycję Zastosuj>OK.

    Uwaga

    Sprawdź folder, do którego zostały przeniesione dzienniki zdarzeń. Jeśli dzienniki zdarzeń nie znajdują się w folderze, uruchom ponownie system.

Możesz potwierdzić, że ścieżka dziennika została zaktualizowana przy użyciu Edytora rejestru. Na przykład przejdź do następującej ścieżki rejestru i sprawdź dane wartości Wartość wartości pliku .

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System

Przenoszenie plików dziennika Podgląd zdarzeń przy użyciu programu PowerShell

W tym celu można użyć programu PowerShell. W przykładzie dzienniki zdarzeń zabezpieczeń zostaną zmigrowane do C:\Logs:

$originalFolder = "$env:SystemRoot\system32\winevt\Logs"
$targetFolder = "C:\logs"
$logName = "Security"

$originalAcl = Get-Acl -Path $originalFolder -Audit -AllCentralAccessPolicies
Set-Acl -Path $targetFolder -AclObject $originalAcl -ClearCentralAccessPolicy
$targetAcl = Get-Acl -Path $targetFolder -Audit -AllCentralAccessPolicies
$targetAcl.SetOwner([System.Security.Principal.NTAccount]::new("SYSTEM"))

New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "AutoBackupLogFiles" -Value "1" -PropertyType "DWord"
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "Flags" -Value "1" -PropertyType "DWord"
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "File" -Value "$targetFolder\$logName.evtx"

Informacje

Aby uzyskać więcej informacji na temat wyświetlania dzienników i zarządzania nimi w Podgląd zdarzeń, zobacz Jak usunąć uszkodzone pliki dziennika Podgląd zdarzeń. Aby dowiedzieć się więcej o ogólnym użyciu Podgląd zdarzeń, wybierz menu Akcja w Podgląd zdarzeń, a następnie wybierz pozycję Pomoc.