Перемещение Просмотр событий журналов в другое расположение
В этой статье описывается, как Windows Server 2016 и Windows Server 2019 Просмотр событий файлы журнала в другое место на жестком диске.
Область действия: Windows Server 2016, Windows Server 2019
Исходный номер базы знаний: 315417
Аннотация
Windows Server записывает события в следующие журналы:
- Журнал приложений Журнал приложений содержит события, регистрируемые программами. События, записываемые в журнал приложений, определяются разработчиками программы.
- Журнал безопасности Журнал безопасности содержит такие события, как допустимые и недопустимые попытки входа в систему. Он также содержит события, связанные с использованием ресурсов, например при создании, открытии или удалении файлов. Чтобы включить, использовать и указать, какие события записываются в журнал безопасности, необходимо войти в систему от имени администратора или члена группы «Администраторы».
- Системный журнал Системный журнал содержит события, регистрируемые компонентами системы Windows. Эти события предопределяются Windows.
- Журнал службы каталогов Журнал службы каталогов содержит события, связанные с Active Directory. Этот журнал доступен только на контроллерах домена.
- Журнал DNS-сервера Журнал DNS-сервера содержит события, связанные с разрешением DNS-имен на IP-адресах и с них. Этот журнал доступен только на DNS-серверах.
- Журнал службы репликации файлов Журнал службы репликации файлов содержит события, регистрируемые в процессе репликации между контроллерами домена. Этот журнал доступен только на контроллерах домена.
По умолчанию файлы Просмотр событий используют расширение EVT и находятся в папке %SystemRoot%\System32\winevt\Logs.
Имя файла журнала и сведения о расположении хранятся в реестре. Эти сведения можно изменить, чтобы изменить расположение файлов журнала по умолчанию. Вам может потребоваться переместить файлы журналов в другое расположение, если требуется больше места на диске для записи данных в журнал.
Создание папки журнала событий в другом расположении
Создайте папку, в которой вы хотите хранить журналы событий на локальном диске, и назначьте правильные разрешения. Эти этапы описаны ниже.
- Создайте папку (например, C:\EventLogs).
- Щелкните ее правой кнопкой мыши и выберите пункт Свойства.
- Перейдите на вкладку «Безопасность», а затем выберите « Дополнительно» для специальных разрешений или дополнительных параметров.
Примечание. По умолчанию для папки включено наследование.
Выберите « Изменить», чтобы изменить владельца на SYSTEM, а затем выберите « Отключить наследование», как показано ниже. Вам будет предложено преобразовать или удалить унаследованные разрешения. Выберите преобразование унаследованных разрешений в явные разрешения для этого объекта, и вы увидите те же разрешения, которые явно заданы для папки.
Примечание. Чтобы создать вложенные папки для журналов, установите флажок «Заменить все записи разрешений дочернего объекта на наследуемые записи разрешений из этого параметра объекта». Разрешения, задаемые на родительском уровне, применяются ко всем вложенным папкам и файлам.
Настройте разрешения таким образом, чтобы папке были назначены правильные разрешения, и установите флажок «Применяется к столбцу «. Эти разрешения должны совпадать с расширенными разрешениями папки по умолчанию (%SystemRoot%\System32\winevt\Logs), в которой хранятся Просмотр событий журналы. Убедитесь, что у прошедших проверку подлинности пользователей есть разрешение на чтение только для этой папки и вложенных папок.
- Нажмите кнопку «Изменить>добавить».
- Выберите «Расположения«, выберите имя локального компьютера и нажмите кнопку «ОК».
- Введите NT SERVICE\EventLog в поле «Введите имена объектов» для выбора и выбора флажка «Проверить имена». Имя должно быть разрешено в EventLog. Нажмите кнопку « ОК», чтобы завершить.
Убедитесь , что в разделе » Разрешения для eventLog » для пользователя EventLog выбран параметр «Полный доступ «.
Перемещение Просмотр событий журналов в другое расположение
Файлы журналов можно переместить в созданную папку с помощью Просмотр событий следующим образом:
- Откройте Просмотр событий.
- Щелкните правой кнопкой мыши имя журнала (например, System) в разделе » Журналы Windows » в области слева и выберите пункт «Свойства».
- Измените значение пути к журналу на расположение созданной папки и оставьте имя файла журнала в конце пути ( например, C:\EventLogs\System.evtx).
- Выберите «Очистить журнал«, а затем нажмите кнопку « Сохранить и очистить», чтобы сохранить файлы журнала событий в другом расположении.
- Нажмите Применить>OK.
Примечание. Проверьте папку, в которую вы переместили журналы событий. Если журналы событий не находятся в папке, перезапустите систему.
Вы можете убедиться, что путь к журналу обновлен с помощью редактора реестра. Например, перейдите по следующему пути реестра и проверьте данные значения значения файла .
Перемещение Просмотр событий журналов с помощью PowerShell
Для этой цели можно использовать PowerShell. В примере журналы событий безопасности будут перенесены в папку C:\Logs:
$originalFolder = "$env:SystemRoot\system32\winevt\Logs" $targetFolder = "C:\logs" $logName = "Security" $originalAcl = Get-Acl -Path $originalFolder -Audit -AllCentralAccessPolicies Set-Acl -Path $targetFolder -AclObject $originalAcl -ClearCentralAccessPolicy $targetAcl = Get-Acl -Path $targetFolder -Audit -AllCentralAccessPolicies $targetAcl.SetOwner([System.Security.Principal.NTAccount]::new("SYSTEM")) New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "AutoBackupLogFiles" -Value "1" -PropertyType "DWord" New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "Flags" -Value "1" -PropertyType "DWord" Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "File" -Value "$targetFolder\$logName.evtx" Ссылки
Дополнительные сведения о просмотре журналов и управлении ими в Просмотр событий см. в статье «Удаление поврежденных Просмотр событий журналов». Чтобы узнать больше об общих Просмотр событий, выберите меню «Действие» в Просмотр событий и нажмите кнопку «Справка».
Обратная связь
Были ли сведения на этой странице полезными?
Forefront где хранятся логи
Сообщения: 2024
Благодарности: 381
| Конфигурация компьютера |  |
| Процессор: Intel Core i5-13600KF | |
| Материнская плата: Gigabyte Z790 GAMING X AX (rev. 1.0) | |
| Память: Kingston KF560C40BBK2-32 — 32 Gb | |
| HDD: Samsung 860 EVO MZ-76E500BW — 1 шт., Samsung 860 QVO MZ-76Q2T0BW — 1 шт, Samsung 990 Pro MZ-V9P2T0BW — 1 шт, WD WD40EFRX — 1 шт. | |
| Видеокарта: Gigabyte GV-N4070EAGLE OC-12GD | |
| Звук: Creative X-Fi Titanium Fatal1ty Professional (PCI Express) | |
| Блок питания: Seasonic SS-660XP (Platinum-660) | |
| CD/DVD: PIONEER DVR-218L | |
| Монитор: ASUS PA248QJ, 24,1″ | |
| Ноутбук/нетбук: Lenovo ThinkPad X270 | |
| ОС: Windows 10 Pro 64-bit | |
| Индекс производительности Windows: 8,15 | |
| Прочее: Корпус: Cooler Master 690 II Advanced (RC-692A-KKN5). Мышь: Corsair M65 PRO RGB. ZyXEL Keenetic Ultra II. |
Пользуйтесь файловыми менеджерами.
Цитата Delirium:
| Логи ISA для анализа лучше хранить в SQL Server » |
Внешние анализаторы и составители отчётов понимают только текстовый формат. Ведать по этому и сохраняет Shera_Best туда.
——-
Слабый всю жизнь идёт лёгкой дорогой, черта сильного выбрать трудный путь.
Будь осторожен в своих желаниях, ибо они иногда сбываются.
Forefront где хранятся логи
Forefront TMG provides a number of logging formats, including logging to a text file, a local SQL Server Express database, and a remote SQL Server computer. Because Forefront TMG is deployed to help secure your network, it is critical that logging information is always available and accurate. You should carefully monitor alerts and verify that their activity is always being logged. Forefront TMG provides a log queue feature to help ensure log availability during peak logging. Check for alerts that indicate failure to log for a variety of reasons, including disk space, SQL Server connectivity issues, and others. The following table summarizes the default log settings following installation:
| Setting | Details | Defaults |
|---|---|---|
| Firewall log | Logs traffic handled by the Firewall service | Enabled by default to log into the SQL Express database on the local computer. |
| Web proxy log | Logs traffic handled by the Web proxy filter | Enabled by default to log into the SQL Express database on the local computer. |
| Log folder | Location of log files | By default in the ISALogs folder of the Forefront TMG installation directory |
| Log limits | Management of log file size | Default settings: Total size limit=8GB Free disk size to maintain=512MB Maintenance method: Delete files as necessary Delete files older than=7 days |
| Log queue | The log queue is used to temporarily store log entries when they cannot be formatted. This may occur when log entries are generated faster than they can be formatted, or there is no connectivity to a remote SQL Server database. | By default the log queue is stored in the ISALogs folder of the Forefront TMG installation folder. |
| Alerts | The alerts service notifies you when specific events occur. | All log-related alerts are enabled by default |
Forefront где хранятся логи
Сообщения: 13
Благодарности: 6
Давно стоит Forefront TMG , работает, пишет логи, складывает в директорию.
Internet Access Monitor забирает логи, интерпретирует.
Пользователи наказываются.
Все отлично.
Но количество логов растет.
И уже за несколько лет их стало сильно больше, чем надо.
Internet Access Monitor на сегодняшний день импортрует логи несколько часов.
Попробовал удалить «тупо» файлы устаревших логов из директории FF\logs
Не выходит. Машина орет, что файлы используются ISA (SQL server MSFW)
Как потереть файлы ?
Сообщения: 4677
Благодарности: 1092
| Конфигурация компьютера | |
| Процессор: Core™i5 (3427M) | |
| Память: 8Gb DDR3 | |
| Видеокарта: Intel HD Graphics | |
| Ноутбук/нетбук: Dell Latitude 6430u | |
| ОС: Windows 7 Enterprise |
настроить период ротации логов TMG, в оснастке TMG — logs and reports — configure firewall (web-proxy) logging — options.
——-
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.