В конечном итоге я пытаюсь записать журналы безопасности в удаленное хранилище,
\\Server-Name\Drive-Letter\File_Name.evtx
Для тестирования я пытаюсь переместить путь журнала по умолчанию из %SystemRoot%\System32\Winevt\Logs\Security.evtx к C:\Security.evtx . Однако это не удается; ошибок в логах нет.
Я дважды проверил реестр на HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security и File указывает на C:\Security.evtx однако журналы по-прежнему пишутся по умолчанию %SystemRoot%\System32\Winevt\Logs\Security.evtx. Я дважды проверил, и для этого не существует групповой политики.
Есть предложения, как это сделать? Я в курсе wevtutil однако я бы хотел сделать это с помощью средства просмотра событий.
Ты делаешь это неправильно. Какой бы ни была проблема, решение не в том, чтобы перемещать журналы событий в сетевое расположение. Вы можете скопировать их в сетевое расположение, используя пересылка событий для пересылки журналов на другой компьютер или переноса журналов на другой местный диск, но вы не можете переместить их в сетевое расположение.
Windows ожидает и требует, чтобы служба регистрации событий была доступна до инициализации сетевого стека, поэтому ваша идея не является стартовой.