Über die Eigenschaften der entsprechenden Ergeinisprotokolle kann der Pfad- und Dateiname der Protokolle geändert werden. Diese Richtlinieneinstellung legt den Pfad- und Dateinamen je Standard-Protokoll fest. Zwar können weiterhin Änderungen am Speicherort des Protokolls durchgeführt werden, diese werden jedoch bei der Übernahme überschrieben.

So geht's:

• Starten Sie ...\windows\regedit.exe bzw. ...\winnt\regedt32.exe.
• Klicken Sie sich durch folgende Schlüssel (Ordner) hindurch:
  HKEY_LOCAL_MACHINE
  Software
  Policies
  Microsoft
  Windows
  EventLog
  Falls der letzte Schlüssel oder die folgenden Schlüssel noch nicht existieren, dann müssen Sie diese erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "Schlüssel".
• Für die vier Standard-Ereignis-Listen gibt es je einen weiteren Schlüssel. Öffnen (bzw. Erstellen) Sie den entsprechenden Schlüssel:
  • Application (Anwendungsereignisse)
  • Security (Sicherheitsereignisse)
  • System (Systemereignisse)
  • Setup (Einrichtung)
• Doppelklicken Sie auf den Schlüssel "File".
  Falls dieser Schlüssel noch nicht existiert, dann müssen Sie ihn erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "Zeichenfolge" (REG_SZ). Als Schlüsselnamen geben Sie "File" ein.
• Als Zeichenfolge geben Sie das Verzeichnis und den Protokolldateinamen ein. Z.B.: "%SystemRoot%\System32\Winevt\Logs\Application.evtx"
• Die Änderungen werden erst nach einem Neustart aktiv.

Hinweise:

• File:
  Der Datei- und Verzeichnispfad für die entsprechende Protokolldatei. Umgebungsvariablen sind möglich. Standardpfad: "%SYSTEMROOT%\System32\WinEvt\Logs"
• Der Speicherort der Datei muss vom Ereignisprotokolldienst beschreibbar sein und sollte nur Administratoren zugänglich sein.
• Ändern Sie bitte nichts anderes in der Registrierungsdatei. Dies kann zur Folge haben, dass Windows und/oder Anwendungsprogramme nicht mehr richtig arbeiten.