Remove From My Forums

イベントログ格納先変更

質問
0

サインインして投票

はじめまして。教えてください

Windows2012サーバ２台のイベントログ（セキュリティログ）の格納先を変更出来ない。対処方法等あれば教えてください。

※サーバはクラスタ構成です。（WSFC）

実施した内容

①イベントビュアーのセキュリティからログパスを変更

変更前：

%SystemRoot%\System32\Winevt\Logs\Security.evtx

変更後：C:\Logs\Security.evtx

②再起動

→再起動後確認した所、イベントビュアーのプロパティ画面では、ログパスが変更していますが、Security.evtxファイルは以下パスにあり移動されていません。以下のフォルダ内でSecurity.evtxを更新されています。

C:\Windows\System32\winevt\Logs

Security.evtxを別のパスへ変更したいのですが、他に方法はないでしょうか？

以下のレジストリキーで格納先変更しても元のパスからSecurity.evtxは移動されません。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security\File

何か有効な方法あれば教えてください。

2017年2月5日 9:36

返信

|

引用

回答

0

サインインして投票
こんにちは。

つきなみですが、 Logs フォルダへの書き込みは可能でしょうか。

コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。
- 回答の候補に設定栗下望Microsoft employee, Moderator 2017年2月6日 0:36
- 回答としてマーク栗下望Microsoft employee, Moderator 2017年2月10日 2:20
2017年2月5日 9:48

返信

|

引用
0

サインインして投票
システムログにソースが eventlog のエラーは記録されていませんか？

例えば以下の様な・・・

Event ID 23 — Channel Initialization

https://technet.microsoft.com/en-us/library/dd315662(v=ws.10).aspx#_AB682030_7FED_4433_9CEC_7C49D132A0D9
- 回答の候補に設定栗下望Microsoft employee, Moderator 2017年2月6日 0:36
- 回答としてマーク栗下望Microsoft employee, Moderator 2017年2月9日 0:37
2017年2月5日 13:51

返信

|

引用

すべての返信

0

サインインして投票
こんにちは。

つきなみですが、 Logs フォルダへの書き込みは可能でしょうか。

コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。
- 回答の候補に設定栗下望Microsoft employee, Moderator 2017年2月6日 0:36
- 回答としてマーク栗下望Microsoft employee, Moderator 2017年2月10日 2:20
2017年2月5日 9:48

返信

|

引用
0

サインインして投票
システムログにソースが eventlog のエラーは記録されていませんか？

例えば以下の様な・・・

Event ID 23 — Channel Initialization

https://technet.microsoft.com/en-us/library/dd315662(v=ws.10).aspx#_AB682030_7FED_4433_9CEC_7C49D132A0D9
- 回答の候補に設定栗下望Microsoft employee, Moderator 2017年2月6日 0:36
- 回答としてマーク栗下望Microsoft employee, Moderator 2017年2月9日 0:37
2017年2月5日 13:51

返信

|

引用
0

サインインして投票

皆様いろいろアドバイスありがとうございました。

無事解決しました。

イベントログ格納先成功サーバと失敗サーバを調査した結果、フォルダ格納ドライブの所有権とアクセス権が異なっており

設定変更し、再起動したらイベントログ格納先が変更されました。

成功サーバ：

　Ｃドライブ所有権→ＴｒｕｓｔｅｄＩｎｓｔａｌｌｅｒ

　アクセス許可→SYSTEM,Administrators,Users(読み取りと実行）、Users（フォルダの作成、データの追加）、Users（ファイルの作成、データの書き込み）、CREATOR　OWNER

失敗サーバ：
Ｃドライブ所有権→SYSTEM
　アクセス許可→SYSTEM,Administrators,、Users(読み取りと実行）、CREATOR　OWNER

上記の結果からCドライブのアクセス権にUsers（フォルダの作成、データの追加）、Users（ファイルの作成、データの書き込み）を追加して再起動して復旧しました。

※Ｃドライブ所有権がSYSTEMの場合、アクセス権が不足しておりました。所有権をＴｒｕｓｔｅｄＩｎｓｔａｌｌｅｒに変更してアクセス権付与する選択肢もありましたが、影響を考慮して所有権はSYSTEMのままでアクセス権のみ追加する対応で復旧させることができました。

いろいろアドバイスありがとうございました。

2017年2月10日 1:35

返信

|

引用
0

サインインして投票

皆様いろいろアドバイスありがとうございました。

無事解決しました。

イベントログ格納先成功サーバと失敗サーバを調査した結果、フォルダ格納ドライブの所有権とアクセス権が異なっており

設定変更し、再起動したらイベントログ格納先が変更されました。

成功サーバ：

　Ｃドライブ所有権→ＴｒｕｓｔｅｄＩｎｓｔａｌｌｅｒ

　アクセス許可→SYSTEM,Administrators,Users(読み取りと実行）、Users（フォルダの作成、データの追加）、Users（ファイルの作成、データの書き込み）、CREATOR　OWNER

失敗サーバ：
Ｃドライブ所有権→SYSTEM
　アクセス許可→SYSTEM,Administrators,、Users(読み取りと実行）、CREATOR　OWNER

上記の結果からCドライブのアクセス権にUsers（フォルダの作成、データの追加）、Users（ファイルの作成、データの書き込み）を追加して再起動して復旧しました。

※Ｃドライブ所有権がSYSTEMの場合、アクセス権が不足しておりました。所有権をＴｒｕｓｔｅｄＩｎｓｔａｌｌｅｒに変更してアクセス権付与する選択肢もありましたが、影響を考慮して所有権はSYSTEMのままでアクセス権のみ追加する対応で復旧させることができました。

いろいろアドバイスありがとうございました。

2017年2月10日 1:36

返信

|

引用

製品

Resources

Solutions

更新プログラム

評価版

関連サイト

トレーニング

認定資格

その他のリソース

製品別サポート

その他のサポート

IT 担当者以外の方へ

トップ回答者

イベントログ格納先変更

質問

回答

すべての返信