Làm cách nào để xóa các sự kiện cụ thể khỏi nhật ký sự kiện trong Windows Server 2008?


20

Tôi có cần một công cụ của bên thứ ba cho việc này không?


4
Tôi cũng vậy. Chỉ có những điều xấu xa đến trong tâm trí.
Stu Thompson

3
Tôi cũng có một yêu cầu cho việc này. Ví dụ: RDP có một số vấn đề với một trong những máy in của tôi. Nó xuất hiện trong Nhật ký ứng dụng với một chữ X to béo, sau đó được chọn TẤT CẢ (đặc biệt là trên các bộ điều khiển miền, ví dụ dcdiag, v.v.) và gây ra nhiều vấn đề hơn. Có lẽ câu hỏi tốt hơn là: làm thế nào để ngăn chặn việc ghi nhật ký một số loại lỗi nhất định?
Matt Rogish

3
Ác, ha. Tôi đã có một ứng dụng vô tình viết tin nhắn gây ra sự cố với dịch vụ thông báo.
JC.

2
@Matt Rogish cách để ngăn chặn việc ghi nhật ký của một loại lỗi nhất định là sửa lỗi. Thực tế là nó đang ghi lại một số vấn đề cho thấy rằng có điều gì đó không ổn cần được khắc phục và không phải là một lời nhắc nhở thân thiện để đổ xăng cho xe của bạn.
mrTomahawk

1
Đó là dịch vụ của riêng tôi, tôi đã viết. Tôi chỉ tò mò nếu nó có thể được thực hiện.
JC.

Câu trả lời:


18

Microsoft cố tình ngăn bạn làm điều này. Toàn bộ khái niệm của Trình xem sự kiện là để trình bày cho bạn một số sự kiện có thể cần sự chú ý của bạn. Nếu một người có thể đi vào và xóa bất kỳ sự kiện ngẫu nhiên nào, thì hệ thống có thể - theo một nghĩa nào đó - bị xâm phạm mà bạn không biết, do đó làm cho nó không an toàn.

Nếu bạn có một sự kiện lỗi được ghi lại, hãy tìm hiểu nguyên nhân gây ra sự cố và khắc phục nó. Bạn không muốn vá một lỗ trên con đập bằng cách dán một miếng kẹo cao su vào lỗ.

Nếu một cái gì đó đang ghi nhật ký thông tin hoặc sự kiện thận trọng quá thường xuyên, thì nhiều lần nguồn nhật ký sự kiện (Microsoft hoặc bên thứ ba) có một số cài đặt cho biết mức độ thường xuyên hoặc mức độ ghi nhật ký được định cấu hình cho ứng dụng. Đó là nơi bạn đi để giảm thiểu việc đăng nhập, không phải bằng cách phẫu thuật trên nhật ký sự kiện.


4
Chỉ quản trị viên mới có thể truy cập nhật ký và nếu người dùng độc hại có được quyền quản trị đối với hộp của bạn thì bạn đã sẵn sàng.
bambams

2
@mrTomahawk, Điều này không liên quan. Rõ ràng có người hỏi "Làm cách nào tôi có thể xóa các sự kiện cụ thể khỏi nhật ký sự kiện trong Windows Server 2008?" muốn làm điều đó Vậy làm thế nào chúng ta có thể làm điều đó? Nếu nó không thể, tại sao? Làm thế nào có thể là nó không thể?
Pacerier

Bạn có một điểm hợp lệ. Nhưng làm thế nào để lọc ra các sự kiện, thay vì xóa các sự kiện? Nếu chúng ta nhận được nhiều tiếng ồn từ một cái gì đó, và chúng ta đang làm việc với nó, nhưng chúng ta cũng muốn xem những gì khác đang có vấn đề làm thế nào để chúng ta làm điều đó?
John Rocha

1
@JohnRocha Từ một tìm kiếm nhanh, có vẻ như không có toán tử "không" trong bộ lọc của họ. Mà có vẻ vô lý.
đăng lại

1
@JohnRocha Thực hiện các truy vấn tùy chỉnh đối với nhật ký sự kiện sử dụng một tập hợp con giới hạn của XPath 1.0 để viết các truy vấn theo định dạng XML. Biểu thức XPath trong phần tử Chọn xác định nội dung bạn truy xuất. Phần tử Suppress tuân theo Chọn và xóa các mục bạn không muốn.
JamieSee

35

Bài viết của OP là hợp lệ. Vấn đề số một với việc ghi nhật ký, báo cáo lỗi và cảnh báo là tiếng ồn trắng. Khi có quá nhiều "lỗi" được báo cáo và hầu hết chúng đều có mức độ ưu tiên thấp hoặc không đáng lo ngại, các quản trị viên có xu hướng bỏ qua TẤT CẢ các lỗi. Tốt hay xấu, đây chỉ là một thực tế của cuộc sống.

Một trong những lỗi anh ấy đang nói đến là (tôi nghĩ) ID sự kiện 1111. Điều đó đơn giản có nghĩa là bạn có một máy in được ánh xạ với trình điều khiển không có sẵn trên máy chủ mà bạn được kết nối. Đó là một lỗi không đáng quan tâm trong hầu hết các trường hợp ... không có gì để "sửa chữa" vì nó không phải là vấn đề.

Nếu bạn muốn tìm các vấn đề thực tế và bạn có ID sự kiện cụ thể mà bạn không quan tâm để tìm hiểu, hãy tạo chế độ xem tùy chỉnh với các bước sau:

  1. Trong nhật ký sự kiện của bạn, nhấp vào "Lọc Nhật ký hiện tại" trong ngăn hành động.
  2. Khoảng một nửa hộp thoại bật lên, bạn sẽ tìm thấy một hộp văn bản với <All Event IDs>
  3. Thay thế văn bản này với nhu cầu bộ lọc của bạn.
    • Nếu bạn chỉ muốn một sự kiện nhất định, hãy đặt ID sự kiện đó vào đó.
    • Nếu bạn có bội số, hãy sử dụng dấu phẩy để phân tách.
    • Nếu bạn muốn loại trừ, sử dụng dấu trừ.
    • Trong trường hợp này, chúng tôi sẽ sử dụng "-1111" (không có dấu ngoặc kép của khóa học).
  4. Nhấp vào "OK" trên hộp thoại.
  5. Trong ngăn hành động, bây giờ bạn bấm vào "Lưu bộ lọc vào chế độ xem tùy chỉnh".

Bây giờ khi bạn muốn xem nhật ký sự kiện của mình, hãy sử dụng chế độ xem tùy chỉnh của bạn và chỉ thông tin bạn thực sự quan tâm mới được hiển thị.

Tôi biết rằng đây là một bài viết muộn cho một chủ đề đã chết nhưng hy vọng nó sẽ giúp người khác làm điều này hơn là các bài đăng của "[Làm việc như dự định, n00b!]" ;-)


6
Đó là lọc, không loại bỏ. Bạn đã đưa ra một câu trả lời tuyệt vời (và hữu ích) cho một câu hỏi không được hỏi, thành thật mà nói.
mfinni

1
@mfinni, Và thành thật mà nói, anh ấy đã không đưa ra bất kỳ câu trả lời nào cho câu hỏi được hỏi . Câu hỏi 35k khách truy cập vào trang này đang hỏi.
Pacerier

4
Đây là một câu trả lời tuyệt vời và hữu ích phù hợp với mục đích của câu hỏi ban đầu cũng như có thể, với những hạn chế mà Microsoft áp đặt.
Mike Beaton

2
Tôi nghĩ ý kiến ​​của cả hai bên là hợp lệ. Thông tin về lọc rất hữu ích hơn là chỉ để lại câu trả lời tại "bạn không thể". Câu trả lời được chấp nhận là câu trả lời đúng và tôi +1. Câu trả lời của @ chad-patrick cũng rất hữu ích và tôi cũng vậy. Nhưng có một lỗ hổng trong câu trả lời của Chad, bạn không nên chỉ sử dụng một dấu trừ trên ID sự kiện , như một số ứng dụng sử dụng các con số tương tự. Cần phải lọc nghiêm ngặt hơn đối với Nhà cung cấp và ID sự kiện. Vì chi tiết về điều này nằm ngoài ngữ cảnh, đây là một liên kết khởi đầu: bit.ly/1d9seDp
TonyG

4

Điều duy nhất bạn có thể làm trong Windows là xóa toàn bộ nhật ký. Tôi chỉ tìm thấy một ứng dụng bên thứ ba tuyên bố sẽ làm điều này - Winzapper , tuy nhiên tôi chưa bao giờ sử dụng nó và nó nói rằng nó là dành cho NT và 2000 vì vậy tôi không biết liệu nó có hoạt động cho máy chủ 2003/2008 hay không. Xin lưu ý rằng có khả năng tham nhũng của Nhật ký sự kiện khi sử dụng các mục này, vì vậy hãy thực hiện một cách giả mạo.


1

Điều gì có thể giải quyết vấn đề của bạn là thay đổi chính sách kiểm toán trong chính sách nhóm. Không biết cụ thể bạn muốn gì không hiển thị, tôi không chắc có cài đặt nào cho nó không, nhưng đây là một ví dụ.

Trong GPMC, xem chi tiết Cấu hình máy tính - Cài đặt Windows - Cài đặt bảo mật - Chính sách cục bộ - Chính sách kiểm toán. Không có một TẤN chi tiết nào ở đây, nhưng có lẽ bạn có thể thoát khỏi những gì làm đầy nhật ký của bạn. (Các DC của tôi không phải là 2008, vì vậy đây là những gì tôi đã nhận được từ viễn cảnh năm 2003 sau Công nguyên, hy vọng nó không hoàn toàn khác biệt)


Điểm tốt, nhưng tôi không xóa các bản ghi hiện có . Nó chỉ ảnh hưởng đến nhật ký trong tương lai.
Pacerier

-1

Bạn có thể viết một ứng dụng .net để xóa nhật ký sự kiện và nguồn sự kiện.

Mã nguồn ví dụ như dưới đây:

class Program
{
    static void Main(string[] args)
    {
        System.Diagnostics.EventLog.DeleteEventSource("YourEventSourceName");
        System.Diagnostics.EventLog.Delete("YourEventName");
    }
}

Tham khảo: http://msdn.microsoft.com/en-us/l Library / system.diagnostics.eventlog (v = vs.100) .aspx


Làm cách nào tôi có thể xóa TẤT CẢ các mục Nhật ký sự kiện ứng dụng?, Không xóa Nhật ký sự kiện ứng dụng, chỉ các mục
Kiquenet

Có ai đó đã thử nghiệm điều này? Điều này có làm việc cho tất cả các sự kiện?
Pacerier

-1

Bạn có thể xóa mục từ vị trí đăng ký chia sẻ này để xóa sự kiện:

HKEY_LOCAL_MACHINE \ HỆ THỐNG \ ControlSet001 \ services \ eventlog


Không, bạn không thể xóa một sự kiện cụ thể từ đó. Bạn có thể xóa / hủy hoại nhật ký sự kiện và nhà cung cấp từ đó. Không giống nhau.
Rob Moir
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.