在Windows 2012中移动事件日志

Question

最终我要把安全日志写到远程存储中，

\\Server-Name\Drive-Letter\File_Name.evtx

为了进行测试，我尝试将默认日志路径从%SystemRoot%\System32\Winevt\Logs\Security.evtx移动到C:\Security.evtx。然而，这是失败的；日志中没有错误。

我在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security上双重检查了注册表，File确实指向了C:\Security.evtx，但是日志仍然写在默认的%SystemRoot%\System32\Winevt\Logs\Security.evtx中。我对此进行了反复检查，没有制定任何组策略。

对如何做到这一点有什么建议吗？我知道wevtutil，但是我想使用事件查看器来完成这个任务。

Answer 1

你做错了。不管问题是什么，解决方案都不是将事件日志重新定位到网络位置。您可以将它们复制到网络位置，使用事件转发将日志转发到另一台计算机，或将日志重新定位到另一个本地驱动器，但不能将它们移动到网络位置。

Windows期望并要求事件日志服务在初始化网络堆栈之前可用，因此您的想法是无效的。