none
系统日志文件保存路径更改 RRS feed

  • 问题

  • 操作系统环境是Windows Server 2016 Standard。更改系统日志文件路径出现下列问题:

    问题一:更改Windows日志下的“安全” 保存路径,设置如下 日志路径 更改为e:\Winevt\Logs\Security.evtx,提示保存成功,实际日志存储路径还是默认的system32\Winevt\Logs\目录。请问要如何设置?

    问题二:更改Windows日志下的“设置” 保存路径,设置如下 日志路径 更改为e:\Winevt\Logs\Setup.evtx,保存提示 拒绝访问 。

    2018年8月27日 3:04

全部回复

  • 你好,

    谢谢你的提问。

    1. 关于想要修改windows安全日志的默认保存路径。你可以通过通过注册表来修改。

    请按照如下步骤执行:

    a. 单击“ 开始”,单击“运行”,键入regedt32,然后单击“ 确定”。

    b. 在Windows菜单上,单击本地计算机上的HKEY_LOCAL_ MACHINE。

    对于安全日志:

    单击System \ CurrentControlSet \ Services \ EventLog \ Security文件夹,然后双击FILE值。

    在“ 字符串”框中键入新驱动器和路径,包括文件名\ SecEvent.Evt,然后单击“ 确定”。默认路径为%SystemRoot%\ System32 \ Config \ SecEvent.Evt

    c. 更改完值之后,需要重启计算机以让注册表生效。

    2. 关于其他日志方法同上。

    3. 此外,建议更改之后不要直接将旧的日志文件夹删除,可以重命名一下,作为一个备份。

    请参考以下链接:

    https://technet.microsoft.com/en-us/library/dd277418.aspx?f=255&MSPPError=-2147217396

    希望可以解决您的问题。

    Best Regards,

    Lee


    Just do it.

    2018年8月27日 6:33
    版主
  • 注册表System \ CurrentControlSet \ Services \ EventLog \ Security文件夹FILE值已修改 成 e:\Winevt\Logs\Security.evtx,系统也重启多次,为何实际日志还是保存在%SystemRoot%\ System32 \ Config \ Security.Evt文件下?
    2018年8月27日 6:47
  • 请问您重启之后再查看注册表下的键值是否已经被更改,是否已经是被更改之后的值。


    Just do it.


    2018年8月27日 7:45
    版主
  • 是的,重启设备后,注册表、日志查看器里 显示的都是修改后的保存路径,实际还是按原先系统默认的路径存日志。
    2018年8月27日 8:12
  • 你好,

    谢谢你的回复。

    关于您存在的问题,我经过实验之后是没有问题的。

    此外,通过组策略同样可以修改日志的存放路径。

    请尝试通过以下步骤来进行配置:

    1. e:\Winevt\Logs\Security.evtx

    打开资源管理器,并且在相应路径下创建文件夹。

    2. 打开gpedit.msc>> computer configuration>>administrative templates>>windows components>>event log service:

    + security >: control the location of the log file : enable , log file: e:\Winevt\Logs\Security.evtx

    3. start cmd>> gpupdate /force >>restart

    4. 检查新的日志路径

    请尝试着使用这种新方法进行修改

    希望可以帮助您解决问题。

    Best Regards,

    Lee


    Just do it.

    2018年8月28日 6:03
    版主