我的目标是将 Windows 日志文件移动到其他驱动器。有些帖子描述了如何执行此操作,像这个。
我使用了一个脚本将日志位置设置为备用文件夹:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Application" /v File /t REG_SZ /d "D\windowslog\Application.evtx" /f
此脚本运行时没有错误,并执行了预期的操作。它按预期修改了注册表,但在运行此脚本的其中一台 PC 上,日志文件仍在旧的默认位置运行 ( C:\Windows\System32\winevt\Logs)
知道为什么事件日志被写入注册表中指示的不同位置吗?
笔记:
- 系统已重启
- 将日志文件复制或移动到新位置没有帮助。它们仍然被写入默认位置
当我查看C:\Windows\System32\winevt\Logs文件夹的安全设置时,我看到一个用户“EventLog”。我想添加此用户以拥有我手动创建的文件夹的权限,但我无法从用户和组列表中选择此用户。
安全 C:\Windows\System32\winevt\Logs
所有 Windows 用户
答案1
我找到了另一个可以解决我的问题的命令。请注意,在某些系统上,您需要以管理员身份执行它。
wevtutil sl application /lfn:"D:\windowslog\Application.evtx"
答案2
初始帖子中的注册表命令在目标文件夹名称中的驱动器号“D”后缺少冒号字符“:”:D\windowslog\Application.evtx
我无法判断缺少的冒号是否只是上面帖子中的拼写错误,或者这是否是注册表命令失败的原因。
今天我之所以看到这个帖子,是因为我想将几个 Windows 事件日志从 C: ssd 移动到硬盘驱动器,以减缓 ssd 使用寿命的消耗速度。(与硬盘驱动器不同,ssd 只能处理有限量的写入,之后就无法再写入了。)换句话说,我通过谷歌搜索找到了这个帖子:“windows winevt logs move”第二篇帖子中提到的“wevtutil sl”命令看起来非常有希望,我打算研究一下。如果它有效,另一个问题是它是否会进行永久性更改,或者是否需要在每次 Windows 启动时执行 wevtutil(通过使用 Windows 任务计划程序任务)。
更新:我在三个日志文件(System.evtx、Security.evtx 和 Application.evtx)上测试了“wevtutil sl”命令,但不确定它是否成功。 我在硬盘上的新文件夹中看到了三个新日志文件,但 Procmon64 显示继续写入 SSD 上原始文件夹中的 Security.evtx 和 Application.evtx。重定向生效的时间可能存在延迟??更新 #2:我的初步结论是命令确实成功了,但在命令生效之前有一个延迟。