Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver hur du flyttar Windows Server 2016 och Windows Server 2019 Loggboken loggfiler till en annan plats på hårddisken.
Gäller för: Windows Server 2016, Windows Server 2019
Ursprungligt KB-nummer: 315417
Sammanfattning
Windows Server registrerar händelser i följande loggar:
Programlogg
Programloggen innehåller händelser som loggas av program. Händelser som skrivs till programloggen bestäms av programutvecklare.
Säkerhetslogg
Säkerhetsloggen innehåller händelser som giltiga och ogiltiga inloggningsförsök. Den innehåller även händelser som är relaterade till resursanvändning, till exempel när du skapar, öppnar eller tar bort filer. Du måste vara inloggad som administratör eller medlem i gruppen Administratörer för att kunna aktivera, använda och ange vilka händelser som registreras i säkerhetsloggen.
Systemlogg
Systemloggen innehåller händelser som loggas av Windows-systemkomponenter. Dessa händelser är förutbestämda av Windows.
Katalogtjänstlogg
Katalogtjänstloggen innehåller Active Directory-relaterade händelser. Den här loggen är endast tillgänglig på domänkontrollanter.
DNS-serverlogg
DNS Server-loggen innehåller händelser som är relaterade till matchningen av DNS-namn till eller från IP-adresser (Internet Protocol). Den här loggen är endast tillgänglig på DNS-servrar.
Tjänstlogg för filreplikering
Loggen för filreplikeringstjänsten innehåller händelser som loggas under replikeringsprocessen mellan domänkontrollanter. Den här loggen är endast tillgänglig på domänkontrollanter.
Som standard använder Loggboken loggfiler tillägget .evt och finns i mappen %SystemRoot%\System32\winevt\Logs.
Loggfilens namn och platsinformation lagras i registret. Du kan redigera den här informationen för att ändra standardplatsen för loggfilerna. Du kanske vill flytta loggfiler till en annan plats om du behöver mer diskutrymme för att logga data.
Skapa en händelseloggmapp på en annan plats
Skapa en mapp där du vill lagra händelseloggarna på din lokala enhet och tilldela rätt behörigheter. Här är stegen:
Skapa en mapp (till exempel C:\EventLogs).
Högerklicka på mappen och välj Egenskaper.
Välj fliken Säkerhet och välj sedan Avancerat för särskilda behörigheter eller avancerade inställningar.
Kommentar
Mappen har "arv" aktiverat som standard.
Välj Ändra för att ändra ägare till SYSTEM och välj sedan Inaktivera arv på följande sätt:
Du uppmanas att konvertera eller ta bort ärvda behörigheter. Välj Konvertera ärvda behörigheter till explicita behörigheter för det här objektet så ser du samma behörigheter som uttryckligen har angetts för mappen.
Kommentar
Om du vill skapa undermappar för loggarna markerar du alternativet Ersätt alla underordnade objektbehörighetsposter med ärvbara behörighetsposter från det här objektet . Behörigheterna som anges på den överordnade nivån tillämpas på alla undermappar och filer.
Justera behörigheter så att mappen tilldelas rätt behörigheter och kontrollera kolumnen Gäller för . Dessa behörigheter bör vara samma som de avancerade behörigheterna för standardmappen (%SystemRoot%\System32\winevt\Logs) som lagrar Loggboken loggarna. Kontrollera att autentiserade användare bara har läsbehörighet för den här mappen och undermappar.
Kommentar
Om du vill lägga till EventLog-användaren går du till fliken Säkerhet i dialogrutan egenskaper och följer dessa steg:
- Välj Redigera>lägg till.
- Välj Platser, välj namnet på den lokala datorn och välj sedan OK.
- Skriv NT SERVICE\EventLog i Ange objektnamnen för att markera och välj Kontrollera namn. Namnet ska matchas till EventLog. Slutför genom att välja OK.
Kontrollera att fullständig kontroll är markerad under Behörigheter för EventLog för EventLog-användaren .
Flytta Loggboken loggfiler till en annan plats
Du kan flytta loggfilerna till den skapade mappen med hjälp av Loggboken på följande sätt:
Öppna Loggboken.
Högerklicka på loggnamnet (till exempel System) under Windows-loggar i den vänstra rutan och välj Egenskaper.
Ändra värdet för loggsökväg till platsen för den skapade mappen och lämna loggfilens namn i slutet av sökvägen (till exempel C:\EventLogs\System.evtx).
Välj Rensa logg och välj sedan Spara och Rensa för att behålla händelseloggfilerna på en annan plats.
Välj Verkställ>OK.
Kommentar
Kontrollera mappen som du flyttade händelseloggarna till. Om händelseloggarna inte finns i mappen startar du om systemet.
Du kan bekräfta att loggsökvägen har uppdaterats med hjälp av Registereditorn. Du kan till exempel gå till följande registersökväg och kontrollera värdedata för filvärdet .
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System
Flytta Loggboken loggfiler med hjälp av PowerShell
Det är möjligt att använda PowerShell för detta ändamål. I exemplet migreras säkerhetshändelseloggarna till C:\Logs:
$originalFolder = "$env:SystemRoot\system32\winevt\Logs"
$targetFolder = "C:\logs"
$logName = "Security"
$originalAcl = Get-Acl -Path $originalFolder -Audit -AllCentralAccessPolicies
Set-Acl -Path $targetFolder -AclObject $originalAcl -ClearCentralAccessPolicy
$targetAcl = Get-Acl -Path $targetFolder -Audit -AllCentralAccessPolicies
$targetAcl.SetOwner([System.Security.Principal.NTAccount]::new("SYSTEM"))
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "AutoBackupLogFiles" -Value "1" -PropertyType "DWord"
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "Flags" -Value "1" -PropertyType "DWord"
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "File" -Value "$targetFolder\$logName.evtx"
Referenser
Mer information om hur du visar och hanterar loggar i Loggboken finns i Ta bort skadade Loggboken loggfiler. Om du vill veta mer om allmän Loggboken användning väljer du åtgärdsmenyn i Loggboken och väljer sedan Hjälp.