Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается перемещение файлов журнала Windows Server 2016 и Windows Server 2019 Просмотр событий в другое расположение на жестком диске.
Область применения: Windows Server 2016, Windows Server 2019
Исходный номер базы знаний: 315417
Итоги
Windows Server записывает события в следующих журналах:
Журнал приложений
Журнал приложений содержит события, которые регистрируются программами. События, записанные в журнал приложений, определяются разработчиками программы программного обеспечения.
Журнал безопасности
Журнал безопасности содержит такие события, как допустимые и недопустимые попытки входа. Он также содержит события, связанные с использованием ресурсов, например при создании, открытии или удалении файлов. Для включения, использования и указания событий, записанных в журнале безопасности, необходимо войти в систему с правами администратора или в качестве члена группы "Администраторы".
Системный журнал
Системный журнал содержит события, зарегистрированные системными компонентами Windows. Эти события предопределены Windows.
Журнал службы каталогов
Журнал службы каталогов содержит события, связанные с Active Directory. Этот журнал доступен только на контроллерах домена.
Журнал DNS-сервера
Журнал DNS-сервера содержит события, связанные с разрешением DNS-имен с IP-адресами или с IP-адресов. Этот журнал доступен только на DNS-серверах.
Журнал службы репликации файлов
Журнал службы репликации файлов содержит события, которые регистрируются во время процесса репликации между контроллерами домена. Этот журнал доступен только на контроллерах домена.
По умолчанию файлы журнала Просмотр событий используют расширение EVT и находятся в папке %SystemRoot%\System32\winevt\Logs.
Имя файла журнала и сведения о расположении хранятся в реестре. Эти сведения можно изменить, чтобы изменить расположение файлов журнала по умолчанию. Вы можете переместить файлы журналов в другое расположение, если требуется больше места на диске, в котором будут записываться данные.
Создание папки журнала событий в другом расположении
Создайте папку, в которой вы хотите сохранить журналы событий на локальном диске и назначить правильные разрешения. Ниже приведены шаги.
Создайте папку (например, C:\EventLogs).
Щелкните правой кнопкой мыши папку и выберите команду Свойства.
Перейдите на вкладку "Безопасность " и выберите "Дополнительно " для специальных разрешений или дополнительных параметров.
Примечание.
Папка имеет параметр "наследование" по умолчанию.
Выберите "Изменить", чтобы изменить владельца на SYSTEM, а затем нажмите кнопку "Отключить наследование", как показано ниже.
Вам будет предложено преобразовать или удалить унаследованные разрешения. Выберите <
a0>Преобразовать унаследованные разрешения в явные разрешения для этого объекта , и вы увидите те же разрешения, которые явно заданы в папке.Примечание.
Чтобы создать вложенные папки для журналов, проверьте все записи разрешений дочернего объекта на наследуемые из этого параметра объекта . Разрешения, заданные на родительском уровне, применяются ко всем вложенным папкам и файлам.
Настройте разрешения таким образом, чтобы папка была назначена правильным разрешениям и проверьте область применения к столбцу. Эти разрешения должны совпадать с расширенными разрешениями папки по умолчанию (%SystemRoot%\System32\Winevt\Logs), в которой хранятся журналы Просмотр событий. Убедитесь, что у пользователей, прошедших проверку подлинности, есть разрешение только на чтение для этой папки и вложенных папок.
Примечание.
Чтобы добавить пользователя EventLog, перейдите на вкладку "Безопасность" диалогового окна свойств и выполните следующие действия:
- Нажмите кнопку "Изменить>добавить".
- Выберите "Расположения", выберите имя локального компьютера и нажмите кнопку "ОК".
- Введите NT SERVICE\EventLog введите имена объектов, чтобы выбрать и выбрать флажок "Проверить имена". Имя должно быть разрешено в EventLog. Нажмите кнопку ОК для завершения.
Убедитесь, что полный контроль выбран в разделе "Разрешения для журнала событий" для пользователя EventLog.
Перемещение файлов журнала Просмотр событий в другое расположение
Файлы журнала можно переместить в созданную папку с помощью Просмотр событий следующим образом:
Откройте Просмотр событий.
Щелкните правой кнопкой мыши имя журнала (например, система) в разделе "Журналы Windows" в левой области и выберите "Свойства".
Измените значение пути журнала на расположение созданной папки и оставьте имя файла журнала в конце пути (например, C:\EventLogs\System.evtx).
Выберите "Очистить журнал", а затем нажмите кнопку "Сохранить и очистить ", чтобы сохранить файлы журнала событий в другом расположении.
Нажмите Применить>OK.
Примечание.
Проверьте папку, в нее перемещены журналы событий. Если журналы событий не находятся в папке, перезапустите систему.
Вы можете убедиться, что путь к журналу обновлен с помощью редактора реестра. Например, перейдите к следующему пути реестра и проверьте данные значения значения файла .
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System
Перемещение файлов журнала Просмотр событий с помощью PowerShell
Для этого можно использовать PowerShell. В примере журналы событий безопасности будут перенесены в C:\Logs:
$originalFolder = "$env:SystemRoot\system32\winevt\Logs"
$targetFolder = "C:\logs"
$logName = "Security"
$originalAcl = Get-Acl -Path $originalFolder -Audit -AllCentralAccessPolicies
Set-Acl -Path $targetFolder -AclObject $originalAcl -ClearCentralAccessPolicy
$targetAcl = Get-Acl -Path $targetFolder -Audit -AllCentralAccessPolicies
$targetAcl.SetOwner([System.Security.Principal.NTAccount]::new("SYSTEM"))
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "AutoBackupLogFiles" -Value "1" -PropertyType "DWord"
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "Flags" -Value "1" -PropertyType "DWord"
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "File" -Value "$targetFolder\$logName.evtx"
Ссылки
Дополнительные сведения о том, как просматривать журналы и управлять ими в Просмотр событий, см. в статье "Как удалить поврежденные файлы журналов Просмотр событий". Чтобы узнать больше об общем использовании Просмотр событий, выберите меню "Действие" в Просмотр событий, а затем нажмите кнопку "Справка".