修改windows日志存放

其实 日志真的是个好东西，下午在本机测试了一下日志的记录状态，感觉日志太强大了，难怪好多人入侵玩了之后要删除日志呢。。。记录一下,系统日志的默认安装位置 以及修改默认日志的方式。。。本来只打算 测试 iis的日志的。后来索性把 Windows的安全日志也记录了下来。以后会用的。简单总结如下：

1、安全日志文件：%systemroot%/system32/config/SecEvent.EVT



2、系统日志文件：%systemroot%/system32/config/SysEvent.EVT



3、应用程序日志文件：%systemroot%/system32/config/AppEvent.EVT



4、FTP日志默认位置：%systemroot%/system32/logfiles/msftpsvc1/，默认每天一个日志



5、WWW日志默认位置：%systemroot%/system32/logfiles/w3svc1/，默认每天一个日志

如果修改了默认的日志的位置，可以通过注册表

HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Eventlog

查看日志的位置定位目录,定位相关联的内容



如何修改日志的位置呢？

WWW日志默认位置的修改方法：

在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“Web站点”页面中，在选中“启用日志记录”的情况下，点击旁边的[属性]按钮，在“常规属性”页面，点击[浏览]按钮或者直接在输入框中输入日志存放路径即可。



修改系统日志路径：

用户到D盘建立一系列深目录以存放新日志文件，如D:\01\02\03\04\05\06\07，起名的原则就是要“越不起眼，越好”。



　点击“开始\运行”，输入“regedit”并回车，即打开注册表编辑器。找到HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\Eventlog，三个日志都在其下。还是以应用程序为例，选中“application”后，右侧窗口中有个名为“file”的项，它的原始数据是“%systemroot%\system32\config\appevent.evt”，即系统默认的路径与文件名。双击它，在弹出的窗口中修改其值为“d:\01\02\03\04\05\06\07\appevent.evt”，依次类推，再分别把Security和System项下的“file”键更改为“d:\01\02\03\04\05\06\07\secevent.evt”和“d:\01\02\03\04\05\06\07\sysevent.evt”，最后按F5刷新一下，关闭注册表。

来到c:\wint\system32\config文件夹下把appenvet.evt、secevent.evt和sysevent.evt这三个日志文件复制并粘贴到新路径d:\01\02\03\04\05\06\07中。重新启动机器，再来到“事件查看器”窗口插一下日志文件的属性，发现路径名已经更改了。