Як я можу видалити конкретні події з журналу подій у Windows Server 2008?

20

Чи потрібен мені сторонній інструмент для цього?

windows-server-2008  windows-event-log 
JC.
джерело
4
Я також. На думку приходять лише злі речі.
Стю Томпсон
3
У мене теж є запит на це. Наприклад: RDP має деякі проблеми з одним із моїх принтерів. Він відображається в журналі додатків з великим жиром X, який потім піднімається ВСЕ ЗА ВИНИ (особливо на контролерах домену, наприклад, dcdiag тощо) і спричиняє БУЛЬШІ проблеми. Можливо, краще питання: як придушити журнал певних типів помилок?
Метт Рогіш
3
Зло, га. У мене був додаток, який випадково писав повідомлення, які викликали проблеми зі службою оповіщення.
JC.
2
@Matt Rogish спосіб придушити журнал певного типу помилок - це виправити помилку. Той факт, що в ньому є певна проблема, свідчить про те, що щось не так, що слід виправити, а не доброзичливе нагадування, щоб наповнити автомобіль бензином.
mrTomahawk
1
Це моя власна послуга, яку я написав. Мені було просто цікаво, чи можна це зробити.
JC.

Відповіді:

18

Microsoft навмисно заважає вам це робити. Вся концепція переглядача подій полягає в тому, щоб представити вам певні події, які можуть зажадати вашої уваги. Якщо можна було б увійти та видалити будь-яку випадкову подію, то система - в певному сенсі - може бути порушена, не знаючи, тому зробивши це небезпечним.

Якщо у вас зареєстрована подія помилки, з’ясуйте, що викликає проблему, і виправте її. Ви не хочете заклеїти отвір у греблі, засунувши в отвір паличку ясен.

Якщо щось надто часто реєструє інформаційні або обережні події, то багато разів джерело журналу подій (або Microsoft, або третя сторона) має певні налаштування, які вказують на те, як часто або на який рівень журналу налаштовано програму. Саме там ви йдете, щоб мінімізувати реєстрацію, а не робити операції на журналі подій.

mrTomahawk
джерело
4
Лише адміністратор повинен мати доступ до журналів, і якщо зловмисник придбав адміністративні привілеї до вашого вікна, ви вже зробили це.
бамбук
2
@mrTomahawk, це не має значення. Мабуть, хтось запитує "Як я можу видалити конкретні події з журналу подій у Windows Server 2008?" хоче це зробити. То як ми можемо це зробити? Якщо це неможливо, то чому? Як це можливо, що це неможливо?
Pacerier
У вас є дійсна точка. Але як можна відфільтрувати події, а не видалити події? Якщо ми з чогось отримуємо багато шуму, і над цим працюємо, але також хочемо побачити, що ще має проблеми, як це зробити?
Джон Роша
1
@JohnRocha Після швидкого пошуку виявляється, що в їх фільтруванні немає оператора "не". Що здається абсурдом.
reirab
1
@JohnRocha Здійснюючи власні запити проти журналу подій, для запиту запитів у форматі XML використовується обмежений підмножина XPath 1.0. Вирази XPath в елементі Select визначають, що ви отримаєте. Елемент Suppress слід за пунктом Вибір та видаляє елементи, які ви не хочете.
JamieSee
35

Пост ОП є дійсним. Проблема номер один із реєстрацією, повідомлення про помилки та оповіщення - це шум білого кольору. Коли повідомляється про занадто багато "помилок" і більшість з них мають низький пріоритет або взагалі не викликають занепокоєння, адміністратори прагнуть ігнорувати ВСІ помилки. Добре чи погано, це лише факт життя.

Однією з помилок, про які він говорить, є (я думаю) ідентифікатор події 1111. Це просто означає, що у вас є принтер, зіставлений з драйвером, який недоступний на сервері, до якого ви підключені. Це помилка, яка не викликає занепокоєння в більшості випадків ... немає чого "виправити", оскільки це не проблема.

Якщо ви хочете знайти фактичні проблеми, а у вас є конкретні ідентифікатори подій, які вам неважливо прорізати, створіть спеціальний перегляд, виконавши наступні кроки:

  1. У журналі реєстрації подій натисніть на "Фільтр поточного журналу" на панелі дій.
  2. Приблизно на половині вниз діалогового вікна, що спливе, ви знайдете текстове поле з <All Event IDs>
  3. Замініть цей текст відповідно до потреб фільтра.
    • Якщо ви хочете лише певної події, покладіть туди ідентифікатор події.
    • Якщо у вас є кратні, використовуйте коми для розділення.
    • Якщо ви хочете виключити, використовуйте знак мінус.
    • У цьому випадку ми використовували б "-1111" (без лапок, звичайно).
  4. У діалоговому вікні натисніть «ОК».
  5. На панелі дій ви тепер натискаєте "Зберегти фільтр у власному режимі".

Тепер, коли ви хочете переглянути свій журнал подій, використовуйте власний перегляд і відображатиметься лише інформація, яка вас справді стосується.

Я знаю, що це пізня публікація до мертвої нитки, але, сподіваємось, це допомагає комусь іншому, хто гуляє це більше, ніж дописи "[Робота за призначенням, n00b!]" ;-)

Чад Патрік
джерело
6
Це фільтрування, а не видалення. Якщо ви чесно сказали, ви дали чудову (і корисну) відповідь на питання, яке не було задано.
mfinni
1
@mfinni, І якщо чесно, він не дав жодної відповіді на поставлене запитання . Питання, яке задають 35 тисяч відвідувачів цієї сторінки.
Pacerier
4
Це чудова і корисна відповідь, яка максимально відповідає наміру оригінального питання щодо можливих обставин, враховуючи обмеження, які Microsoft накладає.
Майк Бітон
2
Я думаю, що коментарі обох сторін справедливі. Інформація про фільтрування набагато корисніша, ніж просто залишити відповідь на "ви не можете". Прийнята відповідь - правильна відповідь, і я поставив це +1. Відповідь від @ chad-patrick також дуже корисна, і я поставив +1 цьому. Але у відповіді Чада є недолік, ви не повинні просто використовувати знак мінус для ідентифікаторів події , оскільки деякі програми використовують однакові номери. Потрібні більш жорсткі фільтрування для Постачальника та Ідентифікатора події. Оскільки детальна інформація про це поза контекстом, ось початкове посилання: bit.ly/1d9seDp
TonyG
4

Єдине, що можна зробити в Windows - це очистити весь журнал. Я знайшов лише стороннє додаток, яке претендує на це - Winzapper , однак я ніколи його не використовував, і він стверджує, що це для NT та 2000, тому я не знаю, чи буде він працювати на сервері 2003/2008. Будьте в курсі, що при їх використанні можливий пошкодження журналу подій, тому слід поступатись поважно.

Сем Коган
джерело
1

Що може вирішити вашу проблему - це зміни політики аудиту в груповій політиці. Не знаючи, що конкретно ви хочете не показувати, я не впевнений, чи є налаштування для цього, але ось приклад.

У GPMC перейдіть до конфігурації комп’ютера - налаштування Windows - налаштування безпеки - локальні політики - політика аудиту. Тут немає ТОН деталізації, але, можливо, ви можете позбутися того, що заповнює ваші журнали. (Мої постійні точки - це не 2008 рік, тож ось що я отримав з точки зору AD 2003 року, сподіваюся, це не зовсім інше)

Кара Марфія
джерело
Добре, але я не видаляю існуючі журнали. Це впливає лише на майбутні журнали.
Pacerier
-1

Ви можете написати .net-додаток для видалення журналу подій та джерела подій.

Приклад вихідного коду, як показано нижче:

class Program
{
    static void Main(string[] args)
    {
        System.Diagnostics.EventLog.DeleteEventSource("YourEventSourceName");
        System.Diagnostics.EventLog.Delete("YourEventName");
    }
}

Довідка: http://msdn.microsoft.com/en-us/library/system.diagnostics.eventlog(v=vs.100).aspx

цифахуанг
джерело
Як я можу очистити ВСІ записи журналу подій програми? Не видалити журнал подій програми, лише записи
Kiquenet
Хтось це перевірив? Чи працює це на всі події?
Pacerier
-1

Ви можете видалити запис із цього місця реєстрації спільного доступу, щоб видалити подію:

HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ services \ eventlog

Аашиш Гупта
джерело
Ні, ви не можете видалити конкретну подію звідти. Ви можете видалити / зруйнувати журнали подій та провайдерів подій звідти. Не те саме.
Роб Моїр
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.