Compartilhar via

Como mover arquivos de log do Visualizador de Eventos para outro local

Este artigo descreve como mover arquivos de log do Visualizador de Eventos do Windows Server 2016 e do Windows Server 2019 para outro local no disco rígido.

Aplica-se a: Windows Server 2016, Windows Server 2019
Número original da base de conhecimento: 315417

Resumo

O Windows Server registra eventos nos seguintes logs:

  • Log do aplicativo

    O log do aplicativo contém eventos registrados por programas. Os eventos gravados no log do aplicativo são determinados pelos desenvolvedores do programa de software.

  • Log de segurança

    O log de segurança contém eventos como tentativas de logon válidas e inválidas. Ele também contém eventos relacionados ao uso de recursos, por exemplo, quando você cria, abre ou exclui arquivos. Você deve estar conectado como administrador ou como membro do grupo Administradores para ativar, usar e especificar quais eventos são registrados no log de segurança.

  • Log do sistema

    O log do sistema contém eventos registrados pelos componentes do sistema Windows. Esses eventos são predeterminados pelo Windows.

  • Log do serviço de diretório

    O log do Serviço de Diretório contém eventos relacionados ao Active Directory. Esse log está disponível apenas em controladores de domínio.

  • Log do servidor DNS

    O log do servidor DNS contém eventos relacionados à resolução de nomes DNS de ou para endereços IP (Internet Protocol). Esse log está disponível apenas em servidores DNS.

  • Log do Serviço de Replicação de Arquivos

    O log do Serviço de Replicação de Arquivos contém eventos que são registrados durante o processo de replicação entre controladores de domínio. Esse log está disponível apenas em controladores de domínio.

Por padrão, os arquivos de log do Visualizador de Eventos usam a extensão .evt e estão localizados na pasta %SystemRoot%\System32\winevt\Logs .

O nome do arquivo de log e as informações de localização são armazenados no registro. Você pode editar essas informações para alterar o local padrão dos arquivos de log. Talvez você queira mover os arquivos de log para outro local se precisar de mais espaço em disco para registrar dados.

Criar uma pasta de log de eventos em outro local

Crie uma pasta onde você deseja armazenar os logs de eventos em sua unidade local e atribua as permissões corretas. Estas são as etapas:

  1. Crie uma pasta (por exemplo, C:\EventLogs).

  2. Clique com o botão direito do mouse na pasta e selecione Propriedades.

  3. Selecione a guia Segurança e, em seguida, selecione Avançado para permissões especiais ou configurações avançadas.

    Observação

    A pasta tem "herança" habilitada por padrão.

  4. Selecione Alterar para alterar o Proprietário para SYSTEM e, em seguida, selecione Desabilitar Herança da seguinte maneira:

    Captura de tela da janela Configurações avançadas de segurança para EventLogs.

    Você será solicitado a converter ou remover permissões herdadas. Selecione Converter permissões herdadas em permissões explícitas neste objeto e você verá as mesmas permissões definidas explicitamente na pasta.

    Observação

    Para criar subpastas para os logs, marque a opção Substituir todas as entradas de permissão de objeto filho por entradas de permissões herdáveis deste objeto . As permissões definidas no nível pai são aplicadas a todas as subpastas e arquivos.

  5. Ajuste as permissões para que a pasta receba as permissões corretas e marque a coluna Aplica-se a . Essas permissões devem ser as mesmas que as permissões avançadas da pasta padrão (%SystemRoot%\System32\winevt\Logs) que armazena os logs do Visualizador de Eventos. Certifique-se de que os Usuários Autenticados tenham permissão de Leitura apenas para Esta pasta e subpastas.

    Captura de tela da janela Configurações avançadas de segurança para logs.

    Observação

    Para adicionar o usuário do EventLog , vá para a guia Segurança da caixa de diálogo de propriedades e siga estas etapas:

    1. Selecione Editar>Adicionar.
    2. Selecione Locais, selecione o nome do computador local e selecione OK.
    3. Digite NT SERVICE\EventLog in Insira os nomes de objeto a serem selecionados e selecione Verificar Nomes. O nome deve ser resolvido para EventLog. Escolha OK para concluir.

    Verifique se o Controle Total está selecionado em Permissões para EventLog para o usuário do EventLog .

Mover arquivos de log do Visualizador de Eventos para outro local

Você pode mover os arquivos de log para a pasta criada usando o Visualizador de Eventos da seguinte maneira:

  1. Abra o Visualizador de Eventos.

  2. Clique com o botão direito do mouse no nome do log (por exemplo, Sistema) em Logs do Windows no painel esquerdo e selecione Propriedades.

  3. Altere o valor do caminho de log para o local da pasta criada e deixe o nome do arquivo de log no final do caminho (por exemplo, C:\EventLogs\System.evtx).

    Captura de tela da janela Propriedades do Log com a guia Geral aberta.

  4. Selecione Limpar Log e, em seguida, selecione Salvar e Limpar para manter os arquivos de log de eventos em um local diferente.

  5. Selecione Aplicar>OK.

    Observação

    Verifique a pasta para a qual você moveu os logs de eventos. Se os logs de eventos não estiverem na pasta, reinicie o sistema.

Você pode confirmar se o caminho do log foi atualizado usando o Editor do Registro. Por exemplo, vá para o seguinte caminho do Registro e verifique os dados do valor do Arquivo .

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System

Mover arquivos de log do Visualizador de Eventos usando o Powershell

É possível utilizar o Powershell para essa finalidade. No exemplo, os logs de eventos de segurança serão migrados para C:\Logs:

$originalFolder = "$env:SystemRoot\system32\winevt\Logs"
$targetFolder = "C:\logs"
$logName = "Security"

$originalAcl = Get-Acl -Path $originalFolder -Audit -AllCentralAccessPolicies
Set-Acl -Path $targetFolder -AclObject $originalAcl -ClearCentralAccessPolicy
$targetAcl = Get-Acl -Path $targetFolder -Audit -AllCentralAccessPolicies
$targetAcl.SetOwner([System.Security.Principal.NTAccount]::new("SYSTEM"))

New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "AutoBackupLogFiles" -Value "1" -PropertyType "DWord"
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "Flags" -Value "1" -PropertyType "DWord"
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "File" -Value "$targetFolder\$logName.evtx"

Referências

Para obter mais informações sobre como exibir e gerenciar logs no Visualizador de Eventos, consulte Como excluir arquivos de log corrompidos do Visualizador de Eventos. Para saber mais sobre o uso geral do Visualizador de Eventos, selecione o menu Ação no Visualizador de Eventos e selecione Ajuda.