Как перенаправить Расположение файла журнала просмотра событий в размороженный раздел

В случае устранения неполадок ошибки приложения или сбоя (например, Gizmo client) одна из вещей, которые вы будете искать, - это ошибки в приложении Windows и системном журнале.

По умолчанию эти журналы хранятся внутри %SystemRoot%\System32\Config\

При использовании программного обеспечения автоматического восстановления (например, Deep Freeze) для раздела ОС ошибки не сохраняются после перезагрузки системы, что делает использование этих диагностических средств невозможным.

Лучший способ справиться с этим-переместить файлы журнала просмотра событий в размороженный раздел.

Один из способов сделать это-изменить реестр Windows.

• Сначала сделайте резервную копию реестра. Следуйте этому руководству, если вы не знаете, как это сделать: http://windows.microsoft.com/en-us/windows/back-up-registry#1TC=windows-7
• Запустите regedit и перейдите в System\CurrentControlSet\Services\EventLog\System. Дважды щелкните значение файла. Введите новый диск и путь в поле рулевого управления, включая имя файла \SysEvent.Evt, а затем нажмите кнопку ОК. Убедитесь, что введенный путь уже существует и находится на локальном диске.

• Повторите для System\CurrentControlSet\Services\EventLog\Application 

*http://support.microsoft.com/kb/216169

Второй способ достижения того же результата - использование утилиты wevtutil (Vista и выше)

Чтобы изменить расположение системного журнала, введите следующую команду в командной строке:

Замените D:\Windows_Logs с вашим предпочтительным местоположением журнала

Чтобы сделать то же самое для журнала приложений, введите:

Убедитесь, что каталог существует, иначе журналы не будут созданы.

* http://technet.microsoft.com/en-us/library/cc732848.aspx

Затем вы можете использовать средство просмотра событий: http://technet.microsoft.com/en-us/library/cc766401.aspx чтобы открыть файлы журнала на другом компьютере.