※本スレッドは、以下から分割されたものです。
https://social.technet.microsoft.com/Forums/ja-JP/82362535-7ad7-452c-87cb-392cd7c68c76/
[もともとの質問]
Windows server2008でファイルサーバを構築していますが、ログの保存場所について教えて下さい。
監査ログの取得を考えていますが、ログのデータ量がかなり大きくなることが想定されるので、最大容量を超えたらアーカイブする方法での運用を考えていますが、デフォルトだとCドライブにログが保存されますが、ログの保存場所を変更出来ますでしょうか?また、一般的なファイルサーバの監査ログの取得項目も合わせてご教授下さい。
[回答者からコメント]
阿部です
監査ログの取得ということは、Windowsログのセキュリティのイベントログを使用すると考えてよろしいのでしょうか?もしそうなら、イベントログのプロパティよりログのパスが設定できますので、そちらで適切なパスを指定すれば可能です。
ファイルサーバーの監査ということで考えると、監査証跡が必要になると思いますので最低限オブジェクトアクセス>ファイルシステムは必要ではないでしょうか?
後は必要に応じて、ファイルの共有や詳細なファイル共有などを監査対象にすればいいと思います。ただし、この場合は監査においてSACLの設定が必要になりますので、ファイル設計なども考慮する必要があります。ですので、監査を行うフォルダを決めて、そのフォルダに対してSACL(監査対象のユーザーやグループアカウントなど)設定を行うことにより初めてイベントログに上がってきます。
[今回の質問]
途中から失礼します。
現在質問者と同じようにWindowsserver2008のイベントログの保存先を変えたいのですが
ドライブ越しで変更したい場合はどのようにしたらよいでしょうか。
ちなみに阿部様のやり方を参考にログのパス変更設定をし、容量の変更も行ったのですが元々の保存先にあるファイルに上書きされていて容量が増えている。
保存先に指定したドライブ越しのファイルには上書きされないという状態になってしまいました。
なお、レジストリも確認したのですが保存先を変更されていることを確認し再起動をしたのですが変わりませんでした。
もし解決策があればご教授願いします。
