Tôi có cần một công cụ của bên thứ ba cho việc này không?
Tôi có cần một công cụ của bên thứ ba cho việc này không?
Câu trả lời:
Microsoft cố tình ngăn bạn làm điều này. Toàn bộ khái niệm của Trình xem sự kiện là để trình bày cho bạn một số sự kiện có thể cần sự chú ý của bạn. Nếu một người có thể đi vào và xóa bất kỳ sự kiện ngẫu nhiên nào, thì hệ thống có thể - theo một nghĩa nào đó - bị xâm phạm mà bạn không biết, do đó làm cho nó không an toàn.
Nếu bạn có một sự kiện lỗi được ghi lại, hãy tìm hiểu nguyên nhân gây ra sự cố và khắc phục nó. Bạn không muốn vá một lỗ trên con đập bằng cách dán một miếng kẹo cao su vào lỗ.
Nếu một cái gì đó đang ghi nhật ký thông tin hoặc sự kiện thận trọng quá thường xuyên, thì nhiều lần nguồn nhật ký sự kiện (Microsoft hoặc bên thứ ba) có một số cài đặt cho biết mức độ thường xuyên hoặc mức độ ghi nhật ký được định cấu hình cho ứng dụng. Đó là nơi bạn đi để giảm thiểu việc đăng nhập, không phải bằng cách phẫu thuật trên nhật ký sự kiện.
Bài viết của OP là hợp lệ. Vấn đề số một với việc ghi nhật ký, báo cáo lỗi và cảnh báo là tiếng ồn trắng. Khi có quá nhiều "lỗi" được báo cáo và hầu hết chúng đều có mức độ ưu tiên thấp hoặc không đáng lo ngại, các quản trị viên có xu hướng bỏ qua TẤT CẢ các lỗi. Tốt hay xấu, đây chỉ là một thực tế của cuộc sống.
Một trong những lỗi anh ấy đang nói đến là (tôi nghĩ) ID sự kiện 1111. Điều đó đơn giản có nghĩa là bạn có một máy in được ánh xạ với trình điều khiển không có sẵn trên máy chủ mà bạn được kết nối. Đó là một lỗi không đáng quan tâm trong hầu hết các trường hợp ... không có gì để "sửa chữa" vì nó không phải là vấn đề.
Nếu bạn muốn tìm các vấn đề thực tế và bạn có ID sự kiện cụ thể mà bạn không quan tâm để tìm hiểu, hãy tạo chế độ xem tùy chỉnh với các bước sau:
<All Event IDs>
Bây giờ khi bạn muốn xem nhật ký sự kiện của mình, hãy sử dụng chế độ xem tùy chỉnh của bạn và chỉ thông tin bạn thực sự quan tâm mới được hiển thị.
Tôi biết rằng đây là một bài viết muộn cho một chủ đề đã chết nhưng hy vọng nó sẽ giúp người khác làm điều này hơn là các bài đăng của "[Làm việc như dự định, n00b!]" ;-)
Điều duy nhất bạn có thể làm trong Windows là xóa toàn bộ nhật ký. Tôi chỉ tìm thấy một ứng dụng bên thứ ba tuyên bố sẽ làm điều này - Winzapper , tuy nhiên tôi chưa bao giờ sử dụng nó và nó nói rằng nó là dành cho NT và 2000 vì vậy tôi không biết liệu nó có hoạt động cho máy chủ 2003/2008 hay không. Xin lưu ý rằng có khả năng tham nhũng của Nhật ký sự kiện khi sử dụng các mục này, vì vậy hãy thực hiện một cách giả mạo.
Điều gì có thể giải quyết vấn đề của bạn là thay đổi chính sách kiểm toán trong chính sách nhóm. Không biết cụ thể bạn muốn gì không hiển thị, tôi không chắc có cài đặt nào cho nó không, nhưng đây là một ví dụ.
Trong GPMC, xem chi tiết Cấu hình máy tính - Cài đặt Windows - Cài đặt bảo mật - Chính sách cục bộ - Chính sách kiểm toán. Không có một TẤN chi tiết nào ở đây, nhưng có lẽ bạn có thể thoát khỏi những gì làm đầy nhật ký của bạn. (Các DC của tôi không phải là 2008, vì vậy đây là những gì tôi đã nhận được từ viễn cảnh năm 2003 sau Công nguyên, hy vọng nó không hoàn toàn khác biệt)
Bạn có thể viết một ứng dụng .net để xóa nhật ký sự kiện và nguồn sự kiện.
Mã nguồn ví dụ như dưới đây:
class Program
{
static void Main(string[] args)
{
System.Diagnostics.EventLog.DeleteEventSource("YourEventSourceName");
System.Diagnostics.EventLog.Delete("YourEventName");
}
}
Tham khảo: http://msdn.microsoft.com/en-us/l Library / system.diagnostics.eventlog (v = vs.100) .aspx
Bạn có thể xóa mục từ vị trí đăng ký chia sẻ này để xóa sự kiện:
HKEY_LOCAL_MACHINE \ HỆ THỐNG \ ControlSet001 \ services \ eventlog