ฉันจะลบเหตุการณ์เฉพาะออกจากบันทึกเหตุการณ์ใน Windows Server 2008 ได้อย่างไร

ฉันต้องการเครื่องมือของบุคคลที่สามสำหรับสิ่งนี้หรือไม่?

Microsoft จงใจป้องกันไม่ให้คุณทำเช่นนี้ แนวคิดทั้งหมดของ Event Viewer คือการนำเสนอเหตุการณ์บางอย่างที่คุณอาจต้องให้ความสนใจ ถ้าใครสามารถเข้าไปข้างในและลบเหตุการณ์สุ่ม ๆ ได้ระบบก็อาจถูกโจมตีโดยที่คุณไม่รู้ตัวดังนั้นมันจึงไม่ปลอดภัย

หากคุณมีเหตุการณ์ข้อผิดพลาดบันทึกค้นหาสิ่งที่ทำให้เกิดปัญหาและแก้ไข คุณไม่ต้องการปะหลุมในเขื่อนโดยการเกาะติดหมากฝรั่งในหลุม

หากสิ่งที่บันทึกข้อมูลหรือเตือนเหตุการณ์บ่อยเกินไปหลายครั้งที่แหล่งบันทึกเหตุการณ์ (Microsoft หรือบุคคลที่สาม) มีการตั้งค่าบางอย่างที่ระบุว่าความถี่หรือระดับการบันทึกที่กำหนดค่าสำหรับแอปพลิเคชัน นั่นคือที่ที่คุณไปเพื่อลดการบันทึกไม่ใช่การผ่าตัดในบันทึกเหตุการณ์

โพสต์ของ OP นั้นถูกต้อง ปัญหาอันดับหนึ่งของการบันทึกการรายงานข้อผิดพลาดและการแจ้งเตือนคือเสียงสีขาว เมื่อมีการรายงาน "ข้อผิดพลาด" มากเกินไปและส่วนใหญ่มีลำดับความสำคัญต่ำหรือไม่ต้องกังวลเลยผู้ดูแลระบบมักจะเพิกเฉยต่อข้อผิดพลาดทั้งหมด ดีหรือไม่ดีนี่เป็นเพียงความจริงของชีวิต

หนึ่งในข้อผิดพลาดที่เขากำลังพูดถึงคือ (ฉันคิดว่า) รหัสเหตุการณ์ 1111 หมายความว่าคุณมีเครื่องพิมพ์ที่ถูกแมปกับไดรเวอร์ที่ไม่สามารถใช้งานได้บนเซิร์ฟเวอร์ที่คุณเชื่อมต่อ มันเป็นข้อผิดพลาดที่ไม่ต้องกังวลในกรณีส่วนใหญ่ ... ไม่มีสิ่งใดที่จะ "แก้ไข" เนื่องจากไม่ใช่ปัญหา

หากคุณต้องการค้นหาปัญหาที่เกิดขึ้นจริงและคุณมีรหัสเหตุการณ์เฉพาะที่คุณไม่ต้องการกำจัดวัชพืชให้สร้างมุมมองที่กำหนดเองด้วยขั้นตอนต่อไปนี้:

1. ในบันทึกเหตุการณ์ของคุณคลิกที่ "กรองบันทึกปัจจุบัน" ในบานหน้าต่างการกระทำ
2. ประมาณครึ่งกล่องโต้ตอบที่ปรากฏขึ้นคุณจะพบกล่องข้อความ <All Event IDs>
3. แทนที่ข้อความนี้ด้วยความต้องการตัวกรองของคุณ
   • หากคุณต้องการเพียงบางเหตุการณ์ให้ใส่รหัสเหตุการณ์นั้น
   • หากคุณมีหลายรายการให้ใช้เครื่องหมายจุลภาคเพื่อคั่น
   • หากคุณต้องการยกเว้นให้ใช้เครื่องหมายลบ
   • ในกรณีนี้เราจะใช้ "-1111" (โดยไม่ต้องใส่เครื่องหมายคำพูด)
4. คลิก "ตกลง" ในกล่องโต้ตอบ
5. ในบานหน้าต่างการกระทำตอนนี้คลิก "บันทึกตัวกรองไปยังมุมมองที่กำหนดเอง"

ตอนนี้เมื่อคุณต้องการดูบันทึกเหตุการณ์ของคุณให้ใช้มุมมองที่กำหนดเองของคุณและจะแสดงเฉพาะข้อมูลที่คุณเกี่ยวข้องอย่างแท้จริงเท่านั้น

ฉันรู้ว่านี่เป็นการโพสต์ที่ล่าช้าไปยังเธรดที่ตายแล้ว แต่หวังว่าจะช่วยให้คนอื่นที่ใช้ Google นี้มากกว่าโพสต์ของ "[ทำงานตามที่ตั้งใจไว้ n00b!]" ;-)

สิ่งเดียวที่คุณสามารถทำได้ใน Windows คือการล้างบันทึกทั้งหมด ฉันพบแอปของบุคคลที่สามเพียงตัวเดียวที่อ้างว่าทำเช่นนี้ - Winzapperแต่ฉันไม่เคยใช้และระบุว่าเป็น NT และ 2000 ดังนั้นฉันไม่ทราบว่าจะใช้งานกับเซิร์ฟเวอร์ 2003/2008 หรือไม่ โปรดทราบว่ามีความเป็นไปได้ที่จะเกิดความเสียหายของบันทึกเหตุการณ์เมื่อใช้สิ่งเหล่านี้ดังนั้นจึงควรทำการ carfeully

สิ่งที่อาจแก้ไขปัญหาของคุณคือการเปลี่ยนนโยบายการตรวจสอบในนโยบายกลุ่ม โดยไม่ทราบว่าคุณไม่ต้องการแสดงเฉพาะเจาะจงฉันไม่แน่ใจว่ามีการตั้งค่าหรือไม่ แต่นี่เป็นตัวอย่าง

ใน GPMC ให้เจาะลึกผ่านการกำหนดค่าคอมพิวเตอร์ - การตั้งค่า Windows - การตั้งค่าความปลอดภัย - นโยบายท้องถิ่น - นโยบายการตรวจสอบ ที่นี่ไม่มีความละเอียดมากนัก แต่บางทีคุณสามารถกำจัดสิ่งที่กรอกบันทึกของคุณได้ (DC ของฉันไม่ใช่ 2008 ดังนั้นนี่คือสิ่งที่ฉันได้รับจากมุมมองโฆษณาปี 2003 หวังว่ามันจะไม่แตกต่างกันโดยสิ้นเชิง)

คุณสามารถเขียนแอปพลิเคชัน. net เพื่อลบบันทึกเหตุการณ์และแหล่งที่มาของเหตุการณ์

ตัวอย่างซอร์สโค้ดดังต่อไปนี้:

class Program
{
    static void Main(string[] args)
    {
        System.Diagnostics.EventLog.DeleteEventSource("YourEventSourceName");
        System.Diagnostics.EventLog.Delete("YourEventName");
    }
}

การอ้างอิง: http://msdn.microsoft.com/en-us/library/system.diagnostics.eventlog(v=vs.100).aspx

คุณสามารถลบรายการจากตำแหน่งรีจิสตรีนี้เพื่อลบกิจกรรม:

HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ eventlog