Eventlog, a dodatkowe miejsce na dysku

Porządki powinny być już za nami. Mam nadzieję, że wykorzystaliście porady odnośnie czyszczenia dysku C. Pisaliśmy także niedawno o odczytywaniu informacji o wyłączeniu systemu w dzienniku zdarzeń, bo przecież administrator musi mieć kontrolę nad tym kto i po co wyłącza mu serwery i z pewnością często spogląda sobie w eventlog nawet na wielu maszynach.

Dziś chciałbym podzielić się sztuczką związaną właśnie, z rozrastającymi się jednak plikami .evt, czyli magazynem dla dziennika zdarzeń (ang. eventlog) Co prawda pliki, te nie są jakoś specjalnie wielkie, chociaż zależy to oczywiście od ilości przechowywanych zdarzeń i ustawień logowania tychże. Dochodzi do tego fakt, że w różnych wersjach systemów Windows, możemy spotkać różną ilość plików eventlog. Istotna zaś różnica to lokalizacja plików .evt. I tak dla systemów XP i 2003 będzie to:

%SystemRoot%\system32\config\

Zaś w nowszych systemach pliki eventlog znajdziemy w katalogu:

%SystemRoot%\system32\winevt\Logs\

Najprostszym sposobem odzyskania miejsca jest oczywiście usunięcie/wyczyszczenie dziennika zdarzeń. Nic prostszego 😉 wystarczy prawo-klik na wybranym dzienniku i wybór odpowiedniej opcji:


To rozwiązanie ma jednak swoje wady:

  • tracimy wgląd w historyczne zdarzenia systemowe
  • pliki *.evt wciąż pozostają na dysku systemowym
  • czynność kasowania trzeba cyklicznie powtarzać, co wydaje się mało efektywne (chyba, że zostanie oskryptowane 😉 )

Przecież w całej zabawie z przeglądaniem historycznych zdarzeń systemowych chodzi o to, żeby mieć do nich dostęp i mieć możliwość przeglądania logów systemowych w każdej chwili. Jak więc zaoszczędzić miejsce na dysku i mieć ciągle dostęp do plików eventlog?
No cóż, w opcjach klikalnych nie znajdziemy opcji „przekierowania strumienia zdarzeń” do innej lokalizacji niż domyślna. Z pomocą jednak przychodzi nam mała sztuczka, którą możemy wykonać z poziomu rejestru systemu. Tak więc, aby przenieść pliki eventlog na inny dysk niż dysk systemowy musimy w Edytorze Rejestru odnaleźć następującą ścieżkę:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog

Ścieżka ta jest niezmienna dla Windowsa XP, 2003, 7, 2008, 8 i 2012 (może warto ją dodać do ulubionych wpisów w rejestrze?), jedyne różnice jakie można zaobserwować pomiędzy wersjami systemów to ilość kluczy w tej ścieżce, co ma swój odpowiednik w wyglądzie „podglądu zdarzeń” w opcjach systemowych. Na obrazku poniżej widok dla Windows 7:
Eventol w windows 7
Chcąc przenieść magazyn eventlog w inne miejsce, należy zmodyfikować atrybut wpisu „File”:

Jak widać ja przekierowałem swoje logi do dedykowanego folderu na dysku D. Spytacie pewnie jak wielkie są to oszczędności miejsca na dysku C? Na domowych komputerach ta oszczędność może być niezbyt duża. Rzędu 500 MB – 2 GB, natomiast na serwerach miesięcznie jest to oszczędność około 20-30 GB. Czy gra warta jest świeczki – myślę, że sami potraficie odpowiedzieć na to pytanie.
Wrzućcie jakiś komentarz – co jeszcze można śmiało wyczyścić lub przenieść z dysku C w inne miejsce, aby zaoszczędzić miejsce na dysku systemowym.

Piotr Berent

Piotr Berent od 2002 w pocie czoła pracujący w środowisku IT, obecnie freelancer - Inżynier Systemowy. Entuzjasta wirtualizacji, automatyzacji i rozwiązań opartych o narzędzia open-source.

Przeczytaj także...

Dodaj komentarz