共用方式為

如何將 事件檢視器 記錄檔移至另一個位置

本文說明如何將 Windows Server 2016 和 Windows Server 2019 事件檢視器 記錄檔移至硬碟上的另一個位置。

適用於: Windows Server 2016、Windows Server 2019
原始 KB 編號: 315417

摘要

Windows Server 會記錄下列記錄中的事件:

  • 應用程式記錄

    應用程式記錄檔包含程式所記錄的事件。 寫入應用程式記錄的事件是由軟體程序的開發人員所決定。

  • 安全性記錄檔

    安全性記錄檔包含有效且無效的登入嘗試等事件。 它也包含與資源使用相關的事件,例如,當您建立、開啟或刪除檔案時。 您必須以系統管理員或系統管理員群組的成員身分登入,才能開啟、使用,以及指定要在安全性記錄檔中記錄的事件。

  • 系統記錄檔

    系統記錄檔包含 Windows 系統元件所記錄的事件。 這些事件是由 Windows 預先決定的。

  • 目錄服務記錄檔

    目錄服務記錄包含 Active Directory 相關事件。 此記錄僅適用於域控制器。

  • DNS 伺服器記錄

    DNS 伺服器記錄包含事件,這些事件與因特網通訊協定(IP) 位址的 DNS 名稱解析相關。 此記錄只能在 DNS 伺服器上使用。

  • 檔案復寫服務記錄

    檔案復寫服務記錄包含域控制器之間複寫程式期間記錄的事件。 此記錄僅適用於域控制器。

根據預設,事件檢視器 記錄檔會使用 .evt 擴展名,且位於 %SystemRoot%\System32\winevt\Logs 資料夾中。

記錄檔名稱和位置資訊會儲存在登錄中。 您可以編輯此資訊以變更記錄檔的預設位置。 如果您需要更多用來記錄數據的磁碟空間,您可以將記錄檔移至另一個位置。

在另一個位置建立事件記錄檔資料夾

建立您要將事件記錄儲存在本機磁碟驅動器中的資料夾,並指派正確的許可權。 以下為其步驟:

  1. 建立資料夾(例如 C:\EventLogs)。

  2. 以滑鼠右鍵按一下該資料夾,然後選取 [屬性]

  3. 選取 [安全性] 索引標籤,然後選取 [進階] 以取得特殊許可權或進階設定。

    注意

    資料夾預設會啟用「繼承」。

  4. 選取 [變更] 將擁有者變更SYSTEM,然後選取 [停用繼承],如下所示:

    EventLogs 視窗的進階安全性設定螢幕快照。

    系統會提示您轉換或移除繼承的許可權。 選取 [ 將繼承的許可權轉換成此對象的明確許可權],您會看到資料夾上明確設定的相同許可權。

    注意

    若要建立記錄的子資料夾,請檢查 [以繼承的許可權專案取代所有 子物件許可權專案] 選項。 父層級設定的許可權會套用至所有子資料夾和檔案。

  5. 調整許可權,讓資料夾獲派正確的許可權,並檢查 [ 套用至 ] 數據行。 這些許可權應該與儲存 事件檢視器 記錄的預設資料夾 (%SystemRoot%\System32\winevt\Logs) 的進階許可權相同。 請確定 [已驗證的使用者] 只有此資料夾和子資料夾[讀取] 許可權。

    [記錄的進階安全性設定] 視窗螢幕快照。

    注意

    若要新增 EventLog 使用者,請移至 [屬性] 對話方塊的 [安全性 ] 索引卷標,然後遵循下列步驟:

    1. 選取 [編輯>新增]。
    2. 選取 [ 位置],選取本機計算機名稱,然後選取 [ 確定]。
    3. 在 [輸入物件名稱] 中輸入NT SERVICE\EventLog,以選取並選取 [檢查名稱]。 名稱應該解析為 EventLog。 選取 [確定] 來完成。

    請確定已針對 EventLog 用戶選取 [EventLog 的許可權] 底下選取 [完全控制]。

將 事件檢視器 記錄檔移至另一個位置

您可以使用 事件檢視器,將記錄檔移至已建立的資料夾,如下所示:

  1. 開啟 [事件檢視器]

  2. 以滑鼠右鍵按下左窗格中 [Windows 記錄檔] 底下的 [記錄檔名稱],然後選取 [屬性]。

  3. [記錄路徑] 值變更為所建立資料夾的位置,並將記錄檔名稱保留在路徑結尾(例如 C:\EventLogs\System.evtx)。

    [記錄 屬性視窗 的螢幕快照,其中已開啟 [一般] 索引標籤。

  4. 選取 [清除記錄],然後選取 [儲存] 和 [ 清除 ] 以在不同的位置保留事件記錄檔。

  5. 選取 [套用]> [確認]

    注意

    檢查您移至事件記錄檔的資料夾。 如果事件記錄檔不在資料夾中,請重新啟動系統。

您可以使用註冊表編輯器來確認記錄路徑已更新。 例如,移至下列登錄路徑,並檢查 [檔案] 值的 [值] 數據

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System

使用 Powershell 移動 事件檢視器 記錄檔

此用途可以使用Powershell。 在範例中, 安全性 事件記錄檔會移轉至 C:\Logs

$originalFolder = "$env:SystemRoot\system32\winevt\Logs"
$targetFolder = "C:\logs"
$logName = "Security"

$originalAcl = Get-Acl -Path $originalFolder -Audit -AllCentralAccessPolicies
Set-Acl -Path $targetFolder -AclObject $originalAcl -ClearCentralAccessPolicy
$targetAcl = Get-Acl -Path $targetFolder -Audit -AllCentralAccessPolicies
$targetAcl.SetOwner([System.Security.Principal.NTAccount]::new("SYSTEM"))

New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "AutoBackupLogFiles" -Value "1" -PropertyType "DWord"
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "Flags" -Value "1" -PropertyType "DWord"
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "File" -Value "$targetFolder\$logName.evtx"

參考資料

如需如何在 事件檢視器 中檢視和管理記錄的詳細資訊,請參閱如何刪除損毀 事件檢視器 記錄檔。 若要深入瞭解一般 事件檢視器 使用量,請選取 事件檢視器 中的 [動作] 功能表,然後選取 [說明]。