修改计算机事件查看器日志文件保存路径

软件技巧 13408 Views

今天找了一些关于计算机事件查看器日志的事情,准备找一个能够实现公司共享服务器文件的访问,复制,移动,删除等的监控功能,找到最后,还是系统自带的日志功能比较好用(前提要公司的网络环境为域环境),但是修改时发现一个问题,如果开启记录文件访问的记录后,日志文件的增长速度是很快的,刚刚清空日志一会,在查看的时候已经1m多了,默认保存的系统盘空间也不太宽裕,随即找了下修改计算机事件查看器日志文件保存路径的方法,记录如下:

首先也介绍下 什么是事件查看器吧?

Windows系统的事件查看器是Windows中提供的一个系统安全监视工具。在事件查看器中,可以通过使用事件日志,收集有关硬件、软件、系统问题方面的信息,并监视Windows系统安全。它不但可以查看系统运行日志文件,而且还可以查看事件类型,使用事件日志来解决系统故障。

如何找到事件查看器?

点击“开始→设置→控制面板”,点击“管理工具”。然后双击“事件查看器”(或者直接右键点”我的电脑>>管理>>事件查看器”)。
现在,你就可以看到事件查看器的界面了。

修改日志文件存放路径

Windows系统日志默认情况下被保存在Windows系统文件夹中,有的时候,如果你打算修改日志文件存放路径,可以通过修改注册表的方法。
(1)修改系统日志存放路径
打开注册表编辑器,展开如下分支:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\EventLog\System,然后双击右侧窗口中的File键值,打开字符串编辑器,系统默认的存放路径是%SystemRoot%\System32\Config\SysEvent.Evt,这时可以根据自己的需要设定新的存放路径。

(2)修改应用程序日志存放路径
打开注册表编辑器,展开如下分支:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\EventLog\Application,双击并修改右侧窗口中的File键值即可,方法与前面介绍的相同。

(3)修改安全日志存放路径
打开注册表编辑器,展开如下分支:
HKEY_LOCAL_MACHINE\System\CurrentControlSet
\Services\EventLog\Security,双击并修改右侧窗口中的File键值。
完成修改后,重新启动计算机即可使修改生效。

管理事件查看器
我们现在可以修改日志文件的保存路径了,那么是否可以对日志文件根据自己的需要进行相应的管理呢?

(1)改变日志文件大小
在事件查看器中,用鼠标右键单击“应用程序日志”,在弹出的快捷菜单中,选择“属性”命令,打开“应用程序日志”属性对话框,在“常规”选项卡的“最大日志文件大小”文本框中可指定新的日志文件大小。如果要使新设置生效,还需要单击“清除日志”命令按钮。如果要保留日志中的当前信息,当询问清除之前是否保存原始日志时,单击“是”按钮即可。

(2)清除所有事件日志
在控制台树中,首先单击要清除的日志,比如“应用程序日志”,然后在“操作”菜单上,单击“清除所有事件”命令,此时系统会提示是否保存当前日志,单击“是”按钮即可清除,否则将永远丢失当前事件记录,并开始记录新的事件。

(3)保存日志文件
在控制台树中,单击要存档的日志,比如“应用程序日志”,然后在“操作”菜单上,单击“另存日志文件”命令,在打开的对话框中输入文件名称,在“保存类型”中选择文件保存格式,并单击“保存”按钮。

(4)删除与修复损坏的日志文件
如果发现日志文件已经损坏,系统将经常出现故障和错误提示,可以首先将其删除,重新启动计算机后即可恢复。

对于采用NTFS分区格式的系统,如果要删除日志文件,需要首先关闭事件检查器服务才行。在控制面板中双击“管理工具”图标,在打开的管理工具中,双击“服务”图标,在服务中选择“EventLog”服务,用鼠标右键单击此服务,在弹出的快捷菜单中选择“属性”命令,弹出“服务属性”对话框,在“启动类型”中设置其为“已禁用”选项,并单击“确定”按钮完成,如图7所示。重新启动计算机,然后将文件夹“%SystemRoot%\System32\Config”中的*.evt文件删除。完成后,再次启动事件检查器服务,并重新启动计算机即可恢复损坏的事件检查器文件了。
对于使用FAT分区的文件系统,可以使用DOS启动盘启动计算机,然后将“%SystemRoot%\System32\Config”目录下的文件直接删除即可。

搜索以下内容到本文:

  • XP

转载请注明:珹觅.网志 | LuckerMe » 修改计算机事件查看器日志文件保存路径