在 Windows 2012 中移動事件日誌

最終我試圖將安全日誌寫入遠端儲存，

\\Server-Name\Drive-Letter\File_Name.evtx

為了測試，我試圖將預設日誌路徑%SystemRoot%\System32\Winevt\Logs\Security.evtx從C:\Security.evtx. 然而，這失敗了；日誌中沒有錯誤。

我仔細檢查了系統資料庫，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security並且File確實指向C:\Security.evtx但是日誌仍以預設值寫入%SystemRoot%\System32\Winevt\Logs\Security.evtx。我仔細檢查過，沒有為此制定任何組策略。

關於如何做到這一點的任何建議？但是我知道wevtutil我想使用事件查看器來完成此操作。

你這樣做是錯的。無論問題是什麼，解決方案都不是將事件日誌重新定位到網路位置。您可以將它們複製到網路位置，使用事件轉發將日誌轉發到另一台電腦，或將日誌重新定位到另一個本地驅動器，但不能將它們移動到網路位置。

Windows 期望並要求事件日誌服務在初始化網路堆棧之前可用，因此您的想法是行不通的。

引用自：https://serverfault.com/questions/798707