Bagaimana saya bisa menghapus peristiwa tertentu dari log peristiwa di Windows Server 2008?

20

Apakah saya memerlukan alat pihak ketiga untuk ini?

windows-server-2008  windows-event-log 
JC.
sumber
4
Saya juga. Hanya hal-hal jahat yang muncul di pikiran.
Stu Thompson
3
Saya punya permintaan untuk ini juga. Sebagai contoh: RDP memiliki beberapa masalah dengan salah satu printer saya. Itu muncul di log aplikasi dengan X besar lemak yang kemudian diambil SEMUA LEBIH DARI (terutama pada pengontrol domain, misalnya dcdiag dll) dan menyebabkan WAY lebih banyak masalah. Mungkin pertanyaan yang lebih baik adalah: bagaimana cara menekan logging jenis kesalahan tertentu?
Matt Rogish
3
Jahat, ha. Saya memiliki aplikasi yang secara tidak sengaja menulis pesan yang menyebabkan masalah dengan layanan notifikasi.
JC.
2
@ Mat Rogish cara untuk menekan logging dari jenis kesalahan tertentu adalah untuk memperbaiki kesalahan. Fakta bahwa itu mencatat beberapa masalah mengindikasikan bahwa ada sesuatu yang salah yang harus diperbaiki, dan bukan pengingat yang ramah untuk mengisi mobil Anda dengan gas.
mrTomahawk
1
Ini layanan saya sendiri yang saya tulis. Saya hanya ingin tahu apakah itu bisa dilakukan.
JC.

Jawaban:

18

Microsoft dengan sengaja mencegah Anda melakukan hal ini. Seluruh konsep Peraga Peristiwa adalah untuk menyajikan kepada Anda peristiwa-peristiwa tertentu yang mungkin memerlukan perhatian Anda. Jika seseorang bisa masuk dan menghapus acara acak apa pun, maka sistem bisa - dalam beberapa hal - dikompromikan tanpa Anda sadari, sehingga membuatnya tidak aman.

Jika Anda memiliki kesalahan dicatat, cari tahu apa yang menyebabkan masalah dan memperbaikinya. Anda tidak ingin menambal lubang di bendungan dengan menempelkan segumpal permen karet ke dalam lubang.

Jika ada sesuatu yang mencatat informasi atau peringatan terlalu sering, maka berkali-kali sumber log peristiwa (baik Microsoft atau pihak ketiga) memiliki beberapa pengaturan yang menunjukkan seberapa sering atau ke tingkat mana logging dikonfigurasikan untuk aplikasi. Di situlah Anda pergi untuk meminimalkan penebangan, bukan dengan melakukan operasi pada log peristiwa.

mrTomahawk
sumber
4
Hanya administrator yang dapat mengakses log, dan jika pengguna jahat telah memperoleh hak administratif untuk kotak Anda, maka Anda sudah melakukannya.
bambams
2
@ mrTomahawk, Ini tidak relevan. Rupanya seseorang bertanya "Bagaimana cara menghapus peristiwa tertentu dari log peristiwa di Windows Server 2008?" ingin melakukannya. Jadi bagaimana kita bisa melakukannya? Jika itu tidak mungkin, mengapa? Bagaimana mungkin itu tidak mungkin?
Pacerier
Anda memiliki poin yang valid. Tetapi bagaimana cara menyaring acara, daripada menghapus acara? Jika kita mendapatkan banyak suara dari sesuatu, dan kita sedang mengusahakannya, tetapi kita juga ingin melihat apa lagi yang bermasalah bagaimana kita melakukannya?
John Rocha
1
@JohnRocha Dari pencarian cepat, tampaknya tidak ada operator "tidak" dalam pemfilteran mereka. Yang sepertinya tidak masuk akal.
reirab
1
@JohnRocha Melakukan kueri khusus terhadap log peristiwa menggunakan subset terbatas XPath 1.0 untuk menulis kueri dalam format XML. Ekspresi XPath di elemen Pilih menentukan apa yang Anda ambil. Elemen Suppress mengikuti Pilih dan menghapus item yang tidak Anda inginkan.
JamieSee
35

Pos OP valid. Masalah nomor satu dengan logging, pelaporan kesalahan, dan peringatan adalah white noise. Ketika terlalu banyak "kesalahan" dilaporkan dan kebanyakan dari mereka adalah prioritas rendah atau tidak ada perhatian sama sekali, administrator cenderung mengabaikan SEMUA kesalahan. Baik atau buruk, ini hanya fakta kehidupan.

Salah satu kesalahan yang ia bicarakan adalah (saya pikir) event ID 1111. Ini hanya berarti bahwa Anda memiliki printer yang dipetakan dengan driver yang tidak tersedia di server di mana Anda terhubung. Ini adalah kesalahan yang tidak menjadi perhatian dalam banyak kasus ... tidak ada yang perlu "diperbaiki" karena ini bukan masalah.

Jika Anda ingin menemukan masalah aktual dan Anda memiliki ID peristiwa spesifik yang tidak ingin Anda singkirkan, buat tampilan khusus dengan langkah-langkah berikut:

  1. Di log acara Anda klik "Saring Log Sekarang" di panel tindakan.
  2. Sekitar setengah jalan ke kotak dialog yang muncul, Anda akan menemukan kotak teks dengan <All Event IDs>
  3. Ganti teks ini dengan kebutuhan filter Anda.
    • Jika Anda hanya menginginkan acara tertentu, masukkan ID acara itu di sana.
    • Jika Anda memiliki beberapa, gunakan koma untuk memisahkan.
    • Jika Anda ingin mengecualikan, gunakan tanda minus.
    • Dalam hal ini kita akan menggunakan "-1111" (tanpa tanda kutip tentunya).
  4. Klik "OK" pada kotak dialog.
  5. Di panel tindakan sekarang Anda klik "Simpan Filter ke Tampilan Kustom".

Sekarang ketika Anda ingin melihat log acara Anda, gunakan tampilan khusus Anda dan hanya informasi yang benar-benar Anda perhatikan yang akan ditampilkan.

Saya tahu bahwa ini adalah posting yang terlambat ke sebuah utas mati tetapi mudah-mudahan ini membantu orang lain yang melakukan Googling ini lebih dari pada posting "[Bekerja sebagaimana dimaksud, n00b!]" ;-)

Chad Patrick
sumber
6
Itu memfilter, tidak menghapus. Anda memberikan jawaban yang bagus (dan bermanfaat) untuk pertanyaan yang tidak diajukan, jujur.
mfinni
1
@mfinni, Dan sejujurnya dia belum memberikan jawaban untuk pertanyaan yang diajukan . Pertanyaan 35k yang diajukan pengunjung ke halaman ini.
Pacerier
4
Ini adalah jawaban yang bagus dan berguna yang sesuai dengan maksud pertanyaan semula tentang sebaik mungkin, mengingat batasan yang ditetapkan Microsoft.
Mike Beaton
2
Saya pikir komentar di kedua belah pihak valid. Info tentang pemfilteran jauh lebih bermanfaat daripada hanya meninggalkan jawaban di "Anda tidak bisa". Jawaban yang diterima adalah jawaban yang benar dan saya memberi +1 padanya. Jawaban oleh @ chad-patrick juga sangat membantu, dan saya memberi ini +1 juga. Tetapi ada kesalahan dalam jawaban Chad, Anda tidak harus hanya menggunakan tanda minus pada ID peristiwa , karena beberapa aplikasi menggunakan angka yang sama. Penyaringan yang lebih ketat diperlukan pada Penyedia dan event ID. Karena detail tentang hal ini di luar konteks, inilah tautan pemula: bit.ly/1d9seDp
TonyG
4

Satu-satunya hal yang dapat Anda lakukan di Windows adalah menghapus seluruh log. Saya hanya menemukan satu aplikasi pihak ketiga yang mengklaim melakukan ini - Winzapper , namun saya belum pernah menggunakannya dan menyatakan itu untuk NT dan 2000 jadi saya tidak tahu apakah itu akan bekerja untuk server 2003/2008. Ketahuilah bahwa ada potensi untuk korupsi dari log peristiwa saat menggunakan ini, jadi injak carfeully.

Sam Cogan
sumber
1

Apa yang mungkin memecahkan masalah Anda adalah mengubah kebijakan audit dalam kebijakan grup. Tanpa mengetahui secara spesifik apa yang ingin Anda tidak muncul, saya tidak yakin apakah ada pengaturan untuk itu, tapi inilah contohnya.

Di GPMC, telusuri Konfigurasi Komputer - Pengaturan Windows - Pengaturan Keamanan - Kebijakan Lokal - Kebijakan Audit. Tidak ada TON granularitas di sini, tetapi mungkin Anda dapat menyingkirkan apa yang mengisi log Anda. (DC saya bukan 2008, jadi ini yang saya dapatkan dari perspektif 2003 M, semoga tidak terlalu berbeda)

Kara Marfia
sumber
Poin bagus, tapi saya tidak menghapus ini log yang ada . Ini hanya memengaruhi log di masa mendatang.
Pacerier
-1

Anda dapat menulis aplikasi .net untuk menghapus log peristiwa dan sumber acara.

Contoh kode sumber seperti di bawah ini:

class Program
{
    static void Main(string[] args)
    {
        System.Diagnostics.EventLog.DeleteEventSource("YourEventSourceName");
        System.Diagnostics.EventLog.Delete("YourEventName");
    }
}

Referensi: http://msdn.microsoft.com/en-us/library/system.diagnostics.eventlog(v=vs.100).aspx

qifahuang
sumber
Bagaimana saya bisa menghapus SEMUA entri log peristiwa Aplikasi ?, tidak menghapus log peristiwa Aplikasi, hanya entri
Kiquenet
Apakah ada yang menguji ini? Apakah ini berfungsi untuk semua acara?
Pacerier
-1

Anda dapat menghapus entri dari lokasi registri berbagi ini untuk menghapus acara:

HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ services \ eventlog

Aashish Gupta
sumber
Tidak, Anda tidak dapat menghapus acara tertentu dari sana. Anda dapat menghapus / merusak log peristiwa dan penyedia dari sana. Bukan hal yang sama.
Rob Moir
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.