Windows Server 2008 işletim sistemindeki olay günlüğünden belirli olayları nasıl kaldırabilirim?

20

Bunun için üçüncü taraf bir araca ihtiyacım var mı?

windows-server-2008  windows-event-log 
JC.
kaynak
4
Ben de. Sadece kötü şeyler akla geliyor.
Stu Thompson
3
Bunun için de bir isteğim var. Örneğin: RDP'nin yazıcılarımdan birinde bazı sorunları var. Uygulama günlüğünde, daha sonra TÜM OVER (özellikle etki alanı denetleyicileri, örneğin dcdiag vb.) Tarafından alınan ve WAY daha fazla soruna neden olan büyük bir yağ X ile görünür. Belki daha iyi soru şudur: belirli hata türlerinin günlüğe kaydedilmesi nasıl engellenir?
Matt Rogish
3
Şeytan, ha. Yanlışlıkla bir bildirim hizmeti ile ilgili sorunlara neden olan mesajlar yazmak için bir uygulama vardı.
JC.
2
@Matt Rogish, belirli bir hata türünün günlüğe kaydedilmesini bastırmanın yolu, hatayı düzeltmektir. Bazı problemleri günlüğe kaydetmesi, arabanızı gazla doldurmak için kolay bir hatırlatma değil, düzeltilmesi gereken bir şeyin yanlış olduğunu gösteriyor.
mrTomahawk
1
Yazdığım kendi hizmetim. Sadece yapılıp yapılamayacağını merak ettim.
JC.

Yanıtlar:

18

Microsoft bilerek bunu yapmanızı engeller. Olay Görüntüleyicisi'nin tüm konsepti, dikkatinizi gerektirebilecek belirli olayları size sunmaktır. Birisi içeri girer ve herhangi bir rastgele olayı silebilirse, sistem - bir anlamda - bilmeden tehlikeye girebilir, bu nedenle güvensiz hale getirebilir.

Günlüğe kaydedilen bir hata etkinliğiniz varsa, sorunun nedenini öğrenin ve düzeltin. Deliğe bir sakız yapıştırarak bir barajda bir delik açmak istemezsiniz.

Bir şey bilgilendirme veya uyarı olaylarını çok sık günlüğe kaydediyorsa, olay günlüğü kaynağının (Microsoft veya üçüncü taraf) birçok kez uygulama için ne sıklıkta veya hangi düzeyde günlüğe kaydetme yapılandırıldığını belirten bazı ayarları vardır. Olay günlüğünde ameliyat yapıp günlüğe kaydetmeyi en aza indirdiğiniz yer burasıdır.

mrTomahawk
kaynak
4
Yalnızca bir yöneticinin günlüklere erişebilmesi gerekir ve kötü niyetli bir kullanıcı kutunuza yönetici ayrıcalıkları edindiyse, zaten bulunmuş olursunuz.
bambams
2
@mrTomahawk, Bu alakasız. Görünüşe göre "Windows Server 2008'deki olay günlüğünden belirli olayları nasıl kaldırabilirim?" yapmak istiyor. Peki bunu nasıl yapabiliriz? Mümkün değilse neden? Bunun mümkün olmaması nasıl mümkün olabilir?
Pacerier
Geçerli bir noktanız var. Ancak olayları silmek yerine olayları nasıl filtreleyebilirsiniz? Bir şeyden çok fazla gürültü alırsak ve üzerinde çalışıyoruz, ancak başka ne sorunlarının olduğunu görmek istiyoruz, bunu nasıl yapabiliriz?
John Rocha
1
@JohnRocha Hızlı bir aramadan, filtrelemelerinde "değil" operatörü olmadığı anlaşılıyor. Bu saçma görünüyor.
reirab
1
@JohnRocha Olay günlüğüne karşı özel sorgular yapmak, XML biçiminde sorgular yazmak için sınırlı bir XPath 1.0 alt kümesi kullanır. Select öğesindeki XPath ifadeleri ne alacağınızı belirler. Gizle öğesi Seç'i izler ve istemediğiniz öğeleri kaldırır.
JamieSee
35

OP'nin gönderisi geçerlidir. Günlüğe kaydetme, hata bildirme ve uyarı ile ilgili bir numaralı sorun beyaz gürültüdür. Çok fazla "hata" bildirildiğinde ve bunların çoğu düşük önceliğe sahipse veya hiç endişe duymadığında yöneticiler TÜM hataları göz ardı etme eğilimindedir. İyi ya da kötü, bu sadece hayatın bir gerçeği.

Onun hakkında konuşmak hatalardan biri (sanırım) olay KIMLIĞI 1111. Bu sadece bağlı olduğunuz sunucuda mevcut olmayan bir sürücü ile eşlenmiş bir yazıcınız olduğu anlamına gelir. Bu çoğu durumda endişe verici bir hatadır ... bir sorun olmadığı için "düzeltmek" için hiçbir şey yoktur.

Gerçek sorunları bulmak istiyorsanız ve ayıklamak istemediğiniz belirli olay kimlikleriniz varsa, aşağıdaki adımlarla özel bir görünüm oluşturun:

  1. Etkinlik günlüğünüzde, eylem bölmesindeki "Geçerli Günlüğe Filtre Uygula" yı tıklayın.
  2. Açılan iletişim kutusunun yaklaşık yarısında, aşağıdakileri içeren bir metin kutusu bulacaksınız: <All Event IDs>
  3. Bu metni filtre ihtiyaçlarınızla değiştirin.
    • Yalnızca belirli bir etkinlik istiyorsanız, o etkinlik kimliğini buraya yerleştirin.
    • Katlarınız varsa ayırmak için virgül kullanın.
    • Hariç tutmak istiyorsanız, eksi işareti kullanın.
    • Bu durumda "-1111" kullanırız (tabii ki alıntılar olmadan).
  4. İletişim kutusunda "Tamam" ı tıklayın.
  5. İşlem bölmesinde artık "Filtreyi Özel Görünüme Kaydet" i tıklıyorsunuz.

Etkinlik günlüğünüze bakmak istediğinizde, özel görünümünüzü kullanın, yalnızca gerçekten ilgilendiğiniz bilgiler görüntülenecektir.

Bu ölü bir iplik için geç bir yazı olduğunu biliyorum ama umarım bu Googling başka bir "" amaçlandığı gibi çalışma, n00b!] ";-) yazı daha yardımcı olur

Chad Patrick
kaynak
6
Bu filtrelemek, kaldırmak değil. Dürüst olmak gerekirse sorulmayan bir soruya harika (ve yararlı) bir cevap verdiniz.
mfinni
1
@mfinni, Dürüst olmak gerekirse, sorulan soruya cevap vermedi . Bu sayfayı ziyaret eden 35k soru soruyor.
Pacerier
4
Bu, Microsoft'un dayattığı sınırlamalar göz önüne alındığında, orijinal sorunun amacıyla mümkün olduğu kadar eşleşen harika ve kullanışlı bir cevaptır .
Mike Beaton
2
Bence her iki tarafın yorumları da geçerli. Filtreleme hakkında bilgi, "yapamazsınız" şeklinde bir yanıt bırakmaktan çok daha yararlıdır. Kabul edilen cevap doğru cevap ve ben + 1'ledim. @ Chad-patrick'in yanıtı da çok yardımcı oldu ve ben de bunu + 1'ledim. Ama Çad'ın yanıtında bir kusur, sen olmamalı orada sadece bir eksi işareti kullanmak olay kimlikleri bazı uygulamalar aynı numaraları kullandıkça. Sağlayıcı ve olay kimliğinde daha sıkı bir filtreleme gerekir. Bununla
TonyG
4

Windows'da yapabileceğiniz tek şey tüm günlüğü temizlemektir. Ben sadece bunu iddia iddia bir üçüncü taraf uygulaması bulundu - Winzapper , ancak ben hiç kullanmadım ve NT ve 2000 için olduğunu gösterir, bu yüzden sunucu 2003/2008 için çalışacak mı bilmiyorum. Bunları kullanırken Olay günlüğünün bozulma potansiyeli bulunduğunu unutmayın, bu yüzden dikkatlice uygulayın.

Sam Cogan
kaynak
1

Sorununuzu çözebilecek olan şey, grup politikasındaki denetim politikalarını değiştirmektir. Özellikle neyi göstermek istemediğinizi bilmeden, bunun için bir ayar olup olmadığından emin değilim, ama işte bir örnek.

GPMC'de, Bilgisayar Yapılandırması - Windows Ayarları - Güvenlik Ayarları - Yerel İlkeler - Denetim İlkesi'ni inceleyin. Burada bir ton ayrıntı düzeyi yok, ama belki de günlüklerinizi dolduran şeylerden kurtulabilirsiniz. (DC'lerim 2008 değil, bu yüzden 2003 AD perspektifinden aldım, umarım tamamen farklı değildir)

Kara Marfia
kaynak
İyi bir nokta, ama mevcut günlükleri silmiyorum. Yalnızca gelecekteki günlükleri etkiler.
Pacerier
-1

Olay günlüğünü ve olay kaynağını silmek için bir .net uygulaması yazabilirsiniz.

Aşağıdaki gibi kaynak kod örneği:

class Program
{
    static void Main(string[] args)
    {
        System.Diagnostics.EventLog.DeleteEventSource("YourEventSourceName");
        System.Diagnostics.EventLog.Delete("YourEventName");
    }
}

Referans: http://msdn.microsoft.com/tr-tr/library/system.diagnostics.eventlog(v=vs.100).aspx

qifahuang
kaynak
TÜM girdileri Uygulama olay günlüğünü nasıl silebilirim ?, Uygulama olay günlüğünü silmek değil, yalnızca girdileri
Kiquenet
Birisi bunu test etmiş miydi? Bu tüm etkinlikler için geçerli mi?
Pacerier
-1

Etkinliği kaldırmak için bu paylaşım kayıt defteri konumundan girdiyi silebilirsiniz:

HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ eventlog

Aashish Gupta
kaynak
Hayır, oradan belirli bir etkinliği silemezsiniz. Olay günlüklerini ve sağlayıcılarını oradan silebilir / mahvedebilirsiniz. Aynı şey değil.
Rob Moir
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.