我使用 regedit 将存储位置从 C:\WINDOWS\system32\config\AppEvent.Evt 更改为其他位置。
重新启动计算机后,似乎不起作用——事件日志仍然采用原来的位置来存储日志文件。
我忽略了哪些步骤来实现这一目标?
答案1
该过程概述如下:http://support.microsoft.com/kb/315417
引:
要将事件查看器日志文件移动到硬盘上的其他位置,请按照以下步骤操作:
- 找到以下注册表项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog
- 单击代表要移动的事件日志的子项,例如,单击“应用程序”。
- 在右侧窗格中,双击文件。
- 在“数值数据”框中键入新位置的完整路径(包括日志文件名),然后单击“确定”。例如,如果要将应用程序日志 (Appevent.evt) 移动到 E 驱动器上的 Eventlogs 文件夹,请键入 e:\eventlogs\appevent.evt。对要移动的每个日志文件重复步骤 4 到 6。
- 单击注册表菜单上的“退出”。
- 重新启动计算机。
嗯..似乎不是,很奇怪。
答案2
HKLM\SYSTEM\CurrentControlSet您是否更改了或 中的路径HKLM\SYSTEM\ControlSetX?并且您确定活动的 ControlSet 在重启时没有切换(有时会切换)?
检查哪个 ControlSet 实际上是活动的(查看 的值HKLM\SYSTEM\Select\Current)。
答案3
如果还有人在这里寻找答案……
按照上述方法更改 CurrentControlSet 配置单元中的注册表项(您不必触碰其他控制集配置单元),重新启动,在事件视图中更改要移动的每个日志的日志文件位置。Bingo。