关于NTLOG记录[1]

LOG文件允许你监控你系统的资源，这些资源包括文件，应用程序，网络连接，
硬件和其他的一些设备。对于排错和系统安全的发现有很大的帮助。这文章
不解释你怎样看你的LOG记录而是解释一些管理技以帮助你让你的LG文件在你
的控制掌握只下。

当然你首先要知道这些LOG记录都放在哪里？

在UNIX系统上，对于LOG的管理一般很集中化，你熟悉的UNIX系统的话，就应该
知道一个系统里的日志记录一般在某个目录下集中管理，如/var/log，或者
/var/adm等地方。在WINDOWS NT系统中，LOG文件就没有这样集中化了。NT系统中
有应用程序，系统和安全事件的EVENTLOG，对于INTERNET服务的LOG文件一般在于
C:\WINNT\system32\LogFiles目录下，其他NT服务有它们自己的目录以及第三方
的软件一般都把目录放在其自己的程序目录下。这样，一个管理员就不会经常去
查看这些分放在不同目录底下的应用程序目录。所以我们需要的是建立一个统一
的好的管理LOG策略。

一般来说最好的方法是把各个记录文件放在同一地方是最好的管理方式，个人认为，
分划一个分区来存储LOG文件是比较好的方法，这样就可以很方便的使用ACL控制，
和保持文件分离各个应用程序。当然，作为日志来将，你所划分的空间需要你很
好的估计，因为日志往往是吃空间大户。再设置到大多数组可以写访问此盘，而
对于读权限只能由管理员来访问。最后你再设置一个"current"目录。



好了，现在你有一个分区来存储你的LOG文件，现在的问题是在你的系统上有那些
LOG记录和怎样把你的那些应用程序系统放到你所指定的分区中去。

先说明下一些普通LOG文件和你怎样重定位它们：

Eventlog--这些在NT中内建的事件LOG你可以通过EVENT VIEWER-事件查看器来查
看。这些LOG包括如应用程序LOG，安全LOG，系统LOG，DNS服务器LOG，目录服务，
和文件复制服务。它们这些LOG文件的重定位可以通过编辑注册表中的：

the HKLM\System\CurrentControlSet\Services\Eventlog

的键值来完成。其中EVENTLOG下面有很多的子表，里面你可而已查找你想定位
的LOG记录，找到一个KEY后在File属性下，设置每个文件保存在你所划分区的
"current"目录下。（编辑注册表有影响系统的危险，操作之前先保存注册表）
然后重新启动激活更改值。