Перемещение журналов событий в Windows Server 2008 R2
При высказывании "оболочки, пишущей сценарий", кажется, что Вы имеете в виду сценарии удара?
Если Вы подразумеваете, что "оболочка" - Вы взволнованный по поводу написания портативного кода оболочки?
Можно сделать это от GUI или командной строки.
- Запустите диагностику диспетчера серверов
- Event Viewer
- Windows Logs
- Щелкните правой кнопкой по журналу событий своего выбора
- Замените “переменную” Пути Журнала к существующему dir / имя файла
Ключ реестра, который устанавливает значение, является $LogName HKLM\SYSTEM\ControlSet001\Services\eventlog\
Можно изменить его также при помощи следующих команд (измените для установки среде),
reg add “HKLM\SYSTEM\CurrentControlSet\Services\eventlog\Application” /f /v File /t REG_SZ /d
G:\Logs\Application.evtx
reg add ”HKLM\SYSTEM\CurrentControlSet\Services\eventlog\Application”/f /v Flags /t REG_DWORD
/d 0x00000001
Источник: расположение файла Журнала изменений в Windows Server 2008 R2 с помощью реестра
Изменение реестра не сработало, но вы также можете выполнить следующую команду в Power shell
wevtutil sl application /lfn:"D:\MyDir\Application.evtx"
Если вы хотите сделать это через GPO или локальную политику вы можете сделать это через конфигурация компьютера \ административные шаблоны \ компоненты Windows \ служба журнала событий
Просто убедитесь, что в настройке « управлять местоположением » вы вводите что-то вроде <диск letter> \ , иначе он не будет работать без возврата ошибки. Мне потребовалось время, чтобы это выяснить.