Как изменить расположение файлов Журнала событий Microsoft Windows NT
ID:
R10881
Product:
Windows NT
Versions: 4.0
Operation_Systems: MS Windows NT 4.0
Last Modified Date: 09.02.00


АННОТАЦИЯ

В данной статье описывается способ, позволяющий изменить имена и расположение файлов Журнала событий, используемых в операционной системе MS Windows NT 4.0.

ПРОБЛЕМА

Служба "Журнал событий" MS Windows NT ведет три файла журналов - системных событий, безопасности и приложений. Файлы, в которые записываются журналы, по умолчанию, располагаются в каталоге %SystemRoot%\System32\Config. Требуется изменить расположение этих файлов (например, в случае нехватки свободного места на загрузочном разделе или повреждения имеющихся EVT-файлов).

РЕШЕНИЕ

ВНИМАНИЕ! Решение проблемы связано с внесением изменений в системный реестр. Некорректное использование редактора системного реестра может привести систему в неработоспособное состояние и потребовать проведения полной переустановки. Поэтому, перед внесением изменений в системный реестр рекомендуется создать архивную копию системного реестра и изучить процедуру восстановления системного реестра. Microsoft не несет ответственности за некорректное использование редактора реестра.

Для изменения расположения файлов Журнала событий выполните следующие действия:

  1. Запустите редактор реестра (regedit.exe).
  2. Откройте следующий раздел системного реестра:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog

  3. При необходимости изменить расположение журнала системных событий, откройте в указанном разделе подраздел "System".
  4. Измените значение строкового параметра "File", указав полное имя нового файла журнала.
  5. Для изменения файла журнала безопасности повторите шаги 3-4, отредактировав параметр "File" в подразделе "Security".
  6. Для изменения файла журнала приложений повторите шаги 3-4, отредактировав параметр "File" в подразделе "Application".
  7. Закройте редактор реестра и перезагрузите компьютер.

Примечание: Необходимо обратить внимание, что в операционной системе MS Windows NT 4.0 без установленного пакета исправлений Service Pack 4 или более позднего, служба "Журнал событий" может производить запись только в EVT-файлы журналов, размер которых кратен 64 кбайт. Поэтому, указание в реестре уже существующих файлов EVT, ранее сохраненных из программы "Просмотр событий", возможно только для системы MS Windows NT 4.0 SP4 (или системы с более поздним пакетом исправлений).

См. также статьи Q216169, Q226509, Q175386.



Используются технологии uCoz