最终我尝试将安全日志写入远程存储,
\\Server-Name\Drive-Letter\File_Name.evtx
为了测试,我尝试将默认日志路径从%SystemRoot%\System32\Winevt\Logs\Security.evtx移至C:\Security.evtx。但是此操作失败;日志中没有错误。
我仔细检查了注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security,确实File指向C:\Security.evtx但日志仍然以默认方式写入%SystemRoot%\System32\Winevt\Logs\Security.evtx。我仔细检查了,没有针对此的组策略。
关于如何做到这一点有什么建议吗?我知道,wevtutil但我想使用事件查看器来完成此操作。
答案1
你做错了。无论问题是什么,解决方案都不是将事件日志重新定位到网络位置。你可以将它们复制到网络位置,使用事件转发将日志转发到另一台计算机,或将日志重新定位到另一台当地的驱动器,但无法将其移动到网络位置。
Windows 期望并要求事件日志服务在初始化网络堆栈之前可用,因此您的想法是行不通的。