ฉันจะลบเหตุการณ์เฉพาะออกจากบันทึกเหตุการณ์ใน Windows Server 2008 ได้อย่างไร


20

ฉันต้องการเครื่องมือของบุคคลที่สามสำหรับสิ่งนี้หรือไม่?


4
ฉันด้วย. สิ่งชั่วร้ายเท่านั้นที่มาถึงใจ
Stu Thompson

3
ฉันมีคำขอสำหรับสิ่งนี้เช่นกัน ตัวอย่างเช่น: RDP มีปัญหาบางอย่างกับหนึ่งในเครื่องพิมพ์ของฉัน มันแสดงให้เห็นในบันทึกของแอปที่มี X ตัวใหญ่ซึ่งถูกหยิบขึ้นมาทั้งหมด (โดยเฉพาะกับตัวควบคุมโดเมนเช่น dcdiag เป็นต้น) และทำให้เกิดปัญหามากขึ้น อาจเป็นคำถามที่ดีกว่า: วิธีการระงับการบันทึกข้อผิดพลาดบางประเภท?
Matt Rogish

3
ชั่วร้ายฮ่า ฉันมีแอปเขียนข้อความโดยไม่ตั้งใจซึ่งก่อให้เกิดปัญหากับบริการแจ้งเตือน
JC

2
@Matt Rogish วิธีระงับการบันทึกข้อผิดพลาดบางประเภทคือการแก้ไขข้อผิดพลาด ข้อเท็จจริงที่ว่าการบันทึกปัญหาบางอย่างเป็นการระบุว่ามีบางอย่างผิดปกติที่ควรได้รับการแก้ไขและไม่ใช่คำเตือนที่เป็นมิตรในการเติมน้ำมันให้รถของคุณ
mrTomahawk

1
เป็นบริการของฉันเองที่ฉันเขียน ฉันแค่อยากรู้ว่ามันสามารถทำได้
JC

คำตอบ:


18

Microsoft จงใจป้องกันไม่ให้คุณทำเช่นนี้ แนวคิดทั้งหมดของ Event Viewer คือการนำเสนอเหตุการณ์บางอย่างที่คุณอาจต้องให้ความสนใจ ถ้าใครสามารถเข้าไปข้างในและลบเหตุการณ์สุ่ม ๆ ได้ระบบก็อาจถูกโจมตีโดยที่คุณไม่รู้ตัวดังนั้นมันจึงไม่ปลอดภัย

หากคุณมีเหตุการณ์ข้อผิดพลาดบันทึกค้นหาสิ่งที่ทำให้เกิดปัญหาและแก้ไข คุณไม่ต้องการปะหลุมในเขื่อนโดยการเกาะติดหมากฝรั่งในหลุม

หากสิ่งที่บันทึกข้อมูลหรือเตือนเหตุการณ์บ่อยเกินไปหลายครั้งที่แหล่งบันทึกเหตุการณ์ (Microsoft หรือบุคคลที่สาม) มีการตั้งค่าบางอย่างที่ระบุว่าความถี่หรือระดับการบันทึกที่กำหนดค่าสำหรับแอปพลิเคชัน นั่นคือที่ที่คุณไปเพื่อลดการบันทึกไม่ใช่การผ่าตัดในบันทึกเหตุการณ์


4
มีเพียงผู้ดูแลระบบเท่านั้นที่สามารถเข้าถึงบันทึกและหากผู้ใช้ที่เป็นอันตรายได้รับสิทธิ์การดูแลระบบมาที่กล่องของคุณแล้ว
bambams

2
@mrTomahawk นี่ไม่เกี่ยวข้อง เห็นได้ชัดว่ามีคนถามว่า"ฉันจะลบเหตุการณ์เฉพาะออกจากบันทึกเหตุการณ์ใน Windows Server 2008 ได้อย่างไร" ต้องการทำมัน แล้วเราจะทำอย่างไร ถ้ามันเป็นไปไม่ได้ทำไม? เป็นไปได้อย่างไรที่เป็นไปไม่ได้?
Pacerier

คุณมีจุดที่ถูกต้อง แต่มีวิธีกรองเหตุการณ์อย่างไรแทนที่จะลบกิจกรรม? หากเราได้รับเสียงรบกวนจากบางสิ่งบางอย่างและเรากำลังดำเนินการอยู่ แต่เราต้องการเห็นว่ามีอะไรอีกที่มีปัญหาเราจะทำอย่างไร
John Rocha

1
@JohnRocha จากการค้นหาอย่างรวดเร็วปรากฏว่าไม่มีตัวดำเนินการ "ไม่" ในการกรอง ซึ่งดูเหมือนว่าไร้สาระ
reirab

1
@JohnRocha การทำคิวรีแบบกำหนดเองกับบันทึกเหตุการณ์ใช้ชุดย่อยที่ จำกัด ของ XPath 1.0 เพื่อเขียนคิวรีในรูปแบบ XML นิพจน์ XPath ในองค์ประกอบเลือกกำหนดสิ่งที่คุณดึงข้อมูล องค์ประกอบปราบปรามดังต่อไปนี้เลือกและลบรายการที่คุณไม่ต้องการ
JamieSee

35

โพสต์ของ OP นั้นถูกต้อง ปัญหาอันดับหนึ่งของการบันทึกการรายงานข้อผิดพลาดและการแจ้งเตือนคือเสียงสีขาว เมื่อมีการรายงาน "ข้อผิดพลาด" มากเกินไปและส่วนใหญ่มีลำดับความสำคัญต่ำหรือไม่ต้องกังวลเลยผู้ดูแลระบบมักจะเพิกเฉยต่อข้อผิดพลาดทั้งหมด ดีหรือไม่ดีนี่เป็นเพียงความจริงของชีวิต

หนึ่งในข้อผิดพลาดที่เขากำลังพูดถึงคือ (ฉันคิดว่า) รหัสเหตุการณ์ 1111 หมายความว่าคุณมีเครื่องพิมพ์ที่ถูกแมปกับไดรเวอร์ที่ไม่สามารถใช้งานได้บนเซิร์ฟเวอร์ที่คุณเชื่อมต่อ มันเป็นข้อผิดพลาดที่ไม่ต้องกังวลในกรณีส่วนใหญ่ ... ไม่มีสิ่งใดที่จะ "แก้ไข" เนื่องจากไม่ใช่ปัญหา

หากคุณต้องการค้นหาปัญหาที่เกิดขึ้นจริงและคุณมีรหัสเหตุการณ์เฉพาะที่คุณไม่ต้องการกำจัดวัชพืชให้สร้างมุมมองที่กำหนดเองด้วยขั้นตอนต่อไปนี้:

  1. ในบันทึกเหตุการณ์ของคุณคลิกที่ "กรองบันทึกปัจจุบัน" ในบานหน้าต่างการกระทำ
  2. ประมาณครึ่งกล่องโต้ตอบที่ปรากฏขึ้นคุณจะพบกล่องข้อความ <All Event IDs>
  3. แทนที่ข้อความนี้ด้วยความต้องการตัวกรองของคุณ
    • หากคุณต้องการเพียงบางเหตุการณ์ให้ใส่รหัสเหตุการณ์นั้น
    • หากคุณมีหลายรายการให้ใช้เครื่องหมายจุลภาคเพื่อคั่น
    • หากคุณต้องการยกเว้นให้ใช้เครื่องหมายลบ
    • ในกรณีนี้เราจะใช้ "-1111" (โดยไม่ต้องใส่เครื่องหมายคำพูด)
  4. คลิก "ตกลง" ในกล่องโต้ตอบ
  5. ในบานหน้าต่างการกระทำตอนนี้คลิก "บันทึกตัวกรองไปยังมุมมองที่กำหนดเอง"

ตอนนี้เมื่อคุณต้องการดูบันทึกเหตุการณ์ของคุณให้ใช้มุมมองที่กำหนดเองของคุณและจะแสดงเฉพาะข้อมูลที่คุณเกี่ยวข้องอย่างแท้จริงเท่านั้น

ฉันรู้ว่านี่เป็นการโพสต์ที่ล่าช้าไปยังเธรดที่ตายแล้ว แต่หวังว่าจะช่วยให้คนอื่นที่ใช้ Google นี้มากกว่าโพสต์ของ "[ทำงานตามที่ตั้งใจไว้ n00b!]" ;-)


6
นั่นคือการกรองไม่ใช่การลบ คุณให้คำตอบที่ดี (และมีประโยชน์) สำหรับคำถามที่ไม่ได้ถามเพื่อความซื่อสัตย์
mfinni

1
@mfinni, และจะซื่อสัตย์เขาไม่ได้ให้คำตอบสำหรับคำถามใด ๆถาม คำถาม 35k ผู้เยี่ยมชมหน้านี้ถาม
Pacerier

4
นี่เป็นคำตอบที่ยอดเยี่ยมและเป็นประโยชน์ซึ่งตรงกับความต้องการของคำถามเดิมเกี่ยวกับและให้มากที่สุดเท่าที่จะทำได้โดยมีข้อ จำกัด ที่ Microsoft กำหนด
Mike Beaton

2
ฉันคิดว่าความคิดเห็นทั้งสองด้านนั้นถูกต้อง ข้อมูลเกี่ยวกับการกรองมีประโยชน์มากกว่าเพียงแค่ปล่อยคำตอบที่ "คุณไม่สามารถ" คำตอบที่ได้รับการยอมรับคือคำตอบที่ถูกและฉันก็ +1 คำตอบโดย @ chad-patrick ก็มีประโยชน์มากเช่นกันและฉันก็ +1 สิ่งนี้ด้วย แต่มีข้อบกพร่องในคำตอบของแช้ดที่คุณไม่ควรเพียงแค่ใช้เครื่องหมายลบในรหัสเหตุการณ์เช่นปพลิเคชันบางคนใช้ตัวเลขเดียวกัน จำเป็นต้องมีการกรองที่เข้มงวดยิ่งขึ้นใน Provider And ID เหตุการณ์ เนื่องจากรายละเอียดเกี่ยวกับเรื่องนี้อยู่นอกบริบทนี่เป็นลิงค์เริ่มต้น: bit.ly/1d9seDp
TonyG

4

สิ่งเดียวที่คุณสามารถทำได้ใน Windows คือการล้างบันทึกทั้งหมด ฉันพบแอปของบุคคลที่สามเพียงตัวเดียวที่อ้างว่าทำเช่นนี้ - Winzapperแต่ฉันไม่เคยใช้และระบุว่าเป็น NT และ 2000 ดังนั้นฉันไม่ทราบว่าจะใช้งานกับเซิร์ฟเวอร์ 2003/2008 หรือไม่ โปรดทราบว่ามีความเป็นไปได้ที่จะเกิดความเสียหายของบันทึกเหตุการณ์เมื่อใช้สิ่งเหล่านี้ดังนั้นจึงควรทำการ carfeully


1

สิ่งที่อาจแก้ไขปัญหาของคุณคือการเปลี่ยนนโยบายการตรวจสอบในนโยบายกลุ่ม โดยไม่ทราบว่าคุณไม่ต้องการแสดงเฉพาะเจาะจงฉันไม่แน่ใจว่ามีการตั้งค่าหรือไม่ แต่นี่เป็นตัวอย่าง

ใน GPMC ให้เจาะลึกผ่านการกำหนดค่าคอมพิวเตอร์ - การตั้งค่า Windows - การตั้งค่าความปลอดภัย - นโยบายท้องถิ่น - นโยบายการตรวจสอบ ที่นี่ไม่มีความละเอียดมากนัก แต่บางทีคุณสามารถกำจัดสิ่งที่กรอกบันทึกของคุณได้ (DC ของฉันไม่ใช่ 2008 ดังนั้นนี่คือสิ่งที่ฉันได้รับจากมุมมองโฆษณาปี 2003 หวังว่ามันจะไม่แตกต่างกันโดยสิ้นเชิง)


จุดดี แต่ฉันไม่ได้ลบบันทึกที่มีอยู่ มันมีผลกับบันทึกในอนาคตเท่านั้น
Pacerier

-1

คุณสามารถเขียนแอปพลิเคชัน. net เพื่อลบบันทึกเหตุการณ์และแหล่งที่มาของเหตุการณ์

ตัวอย่างซอร์สโค้ดดังต่อไปนี้:

class Program
{
    static void Main(string[] args)
    {
        System.Diagnostics.EventLog.DeleteEventSource("YourEventSourceName");
        System.Diagnostics.EventLog.Delete("YourEventName");
    }
}

การอ้างอิง: http://msdn.microsoft.com/en-us/library/system.diagnostics.eventlog(v=vs.100).aspx


ฉันจะล้างรายการบันทึกเหตุการณ์ทั้งหมดของแอปพลิเคชันได้อย่างไรไม่ลบบันทึกเหตุการณ์แอปพลิเคชันเฉพาะรายการ
Kiquenet

มีคนทดสอบนี่ไหม สิ่งนี้ใช้ได้กับทุกกิจกรรมหรือไม่
Pacerier

-1

คุณสามารถลบรายการจากตำแหน่งรีจิสตรีนี้เพื่อลบกิจกรรม:

HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ eventlog


ไม่คุณไม่สามารถลบกิจกรรมที่ต้องการได้ คุณสามารถลบ / ทำลายบันทึกเหตุการณ์และผู้ให้บริการได้จากที่นั่น ไม่เหมือนกัน
Rob Moir
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.