Чи потрібен мені сторонній інструмент для цього?
Чи потрібен мені сторонній інструмент для цього?
Відповіді:
Microsoft навмисно заважає вам це робити. Вся концепція переглядача подій полягає в тому, щоб представити вам певні події, які можуть зажадати вашої уваги. Якщо можна було б увійти та видалити будь-яку випадкову подію, то система - в певному сенсі - може бути порушена, не знаючи, тому зробивши це небезпечним.
Якщо у вас зареєстрована подія помилки, з’ясуйте, що викликає проблему, і виправте її. Ви не хочете заклеїти отвір у греблі, засунувши в отвір паличку ясен.
Якщо щось надто часто реєструє інформаційні або обережні події, то багато разів джерело журналу подій (або Microsoft, або третя сторона) має певні налаштування, які вказують на те, як часто або на який рівень журналу налаштовано програму. Саме там ви йдете, щоб мінімізувати реєстрацію, а не робити операції на журналі подій.
Пост ОП є дійсним. Проблема номер один із реєстрацією, повідомлення про помилки та оповіщення - це шум білого кольору. Коли повідомляється про занадто багато "помилок" і більшість з них мають низький пріоритет або взагалі не викликають занепокоєння, адміністратори прагнуть ігнорувати ВСІ помилки. Добре чи погано, це лише факт життя.
Однією з помилок, про які він говорить, є (я думаю) ідентифікатор події 1111. Це просто означає, що у вас є принтер, зіставлений з драйвером, який недоступний на сервері, до якого ви підключені. Це помилка, яка не викликає занепокоєння в більшості випадків ... немає чого "виправити", оскільки це не проблема.
Якщо ви хочете знайти фактичні проблеми, а у вас є конкретні ідентифікатори подій, які вам неважливо прорізати, створіть спеціальний перегляд, виконавши наступні кроки:
<All Event IDs>
Тепер, коли ви хочете переглянути свій журнал подій, використовуйте власний перегляд і відображатиметься лише інформація, яка вас справді стосується.
Я знаю, що це пізня публікація до мертвої нитки, але, сподіваємось, це допомагає комусь іншому, хто гуляє це більше, ніж дописи "[Робота за призначенням, n00b!]" ;-)
Єдине, що можна зробити в Windows - це очистити весь журнал. Я знайшов лише стороннє додаток, яке претендує на це - Winzapper , однак я ніколи його не використовував, і він стверджує, що це для NT та 2000, тому я не знаю, чи буде він працювати на сервері 2003/2008. Будьте в курсі, що при їх використанні можливий пошкодження журналу подій, тому слід поступатись поважно.
Що може вирішити вашу проблему - це зміни політики аудиту в груповій політиці. Не знаючи, що конкретно ви хочете не показувати, я не впевнений, чи є налаштування для цього, але ось приклад.
У GPMC перейдіть до конфігурації комп’ютера - налаштування Windows - налаштування безпеки - локальні політики - політика аудиту. Тут немає ТОН деталізації, але, можливо, ви можете позбутися того, що заповнює ваші журнали. (Мої постійні точки - це не 2008 рік, тож ось що я отримав з точки зору AD 2003 року, сподіваюся, це не зовсім інше)
Ви можете написати .net-додаток для видалення журналу подій та джерела подій.
Приклад вихідного коду, як показано нижче:
class Program
{
static void Main(string[] args)
{
System.Diagnostics.EventLog.DeleteEventSource("YourEventSourceName");
System.Diagnostics.EventLog.Delete("YourEventName");
}
}
Довідка: http://msdn.microsoft.com/en-us/library/system.diagnostics.eventlog(v=vs.100).aspx
Ви можете видалити запис із цього місця реєстрації спільного доступу, щоб видалити подію:
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ services \ eventlog