не может переместить журналы событий

299
Tornado

Моя цель - переместить файлы журнала Windows на другой диск. Есть несколько постов, которые описывают, как это сделать, например, этот .

Я использовал скрипт, который устанавливает местоположение журнала в альтернативной папке:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Application" /v File /t REG_SZ /d "D\windowslog\Application.evtx" /f

Этот скрипт выполняется без ошибок и делает то, что должен. Он изменяет реестр так, как должен, однако на одном из ПК, на котором запускается этот скрипт, файлы журналов по-прежнему выполняются в старом расположении по умолчанию ( C:\Windows\System32\winevt\Logs)

Любая идея, почему журналы событий записываются в другое место, как указано в реестре.

заметки:

  • система была перезагружена
  • копирование или перемещение файлов журнала на новое место не помогло. Они все еще продолжали писать в месте по умолчанию

Когда я смотрю на настройки безопасности C:\Windows\System32\winevt\Logsпапки, я вижу пользователя "EventLog". Я думал добавить этого пользователя, чтобы иметь права на папку, которую я создал вручную, но я не могу выбрать этого пользователя из списка пользователей и групп. Безопасность C: \ Windows \ System32 \ winevt \ Журналы Все пользователи Windows

0

1 ответ на вопрос

0
Tornado

Я нашел другую команду, которая решает мою проблему. Обратите внимание, что в некоторых системах вам нужно выполнять его как администратор.

wevtutil sl application /lfn:"D:\windowslog\Application.evtx"

Похожие вопросы