Come posso rimuovere eventi specifici dal registro eventi in Windows Server 2008?

20

Ho bisogno di uno strumento di terze parti per questo?

windows-server-2008  windows-event-log 
JC.
fonte
4
Anch'io. Mi vengono in mente solo cose malvagie.
Stu Thompson,
3
Ho una richiesta anche per questo. Ad esempio: RDP ha alcuni problemi con una delle mie stampanti. Viene visualizzato nel registro dell'app con una X grande e grossa che viene poi rilevata ALL OVER (specialmente sui controller di dominio, ad esempio dcdiag ecc.) E causa MODIFICHE ALTRI problemi. Forse la domanda migliore è: come eliminare la registrazione di alcuni tipi di errori?
Matt Rogish,
3
Male, ah. Ho avuto un'app che scriveva accidentalmente messaggi che causavano problemi con un servizio di notifica.
JC.
2
@Matt Rogish il modo per sopprimere la registrazione di un certo tipo di errore consiste nel correggere l'errore. Il fatto che stia registrando qualche problema indica che c'è qualcosa di sbagliato che dovrebbe essere riparato e non un promemoria amichevole per riempire la tua auto di gas.
sig
1
È il mio servizio che ho scritto. Ero solo curioso di sapere se si potesse fare.
JC.

Risposte:

18

Microsoft ti impedisce di farlo intenzionalmente. L'intero concetto del Visualizzatore eventi è di presentarti alcuni eventi che potrebbero richiedere la tua attenzione. Se uno potesse entrare ed eliminare qualsiasi evento casuale, allora il sistema potrebbe - in un certo senso - essere compromesso a tua insaputa, rendendolo quindi non sicuro.

Se hai registrato un evento di errore, scopri qual è la causa del problema e risolvilo. Non vuoi riparare un buco in una diga attaccando un batuffolo di gomma nel buco.

Se qualcosa registra eventi informativi o di avviso troppo spesso, molte volte l'origine del registro eventi (Microsoft o di terze parti) ha alcune impostazioni che indicano la frequenza o il livello di registrazione configurato per l'applicazione. È qui che vai a minimizzare la registrazione, non facendo un intervento chirurgico sul registro degli eventi.

mrTomahawk
fonte
4
Solo un amministratore dovrebbe essere in grado di accedere ai registri e se un utente malintenzionato ha acquisito i privilegi di amministratore nella tua casella, sei già a conoscenza.
Bambams,
2
@mrTomahawk, Questo è irrilevante. Apparentemente qualcuno chiede "Come posso rimuovere eventi specifici dal registro eventi in Windows Server 2008?" vuole farlo. Quindi come possiamo farlo? Se non è possibile, perché? Come è possibile che non sia possibile?
Pacerier,
Hai un punto valido. Ma come si filtrano gli eventi, anziché eliminarli? Se riceviamo molto rumore da qualcosa e ci stiamo lavorando, ma vogliamo anche vedere cos'altro sta avendo problemi, come possiamo farlo?
John Rocha,
1
@JohnRocha Da una rapida ricerca, sembra che non vi sia alcun operatore "non" nel loro filtro. Il che sembra assurdo.
reirab
1
@JohnRocha L'esecuzione di query personalizzate sul registro eventi utilizza un sottoinsieme limitato di XPath 1.0 per scrivere query in formato XML. Le espressioni XPath nell'elemento Seleziona determinano ciò che si recupera. L'elemento Sopprimi segue Seleziona e rimuove gli elementi che non desideri.
JamieVedi
35

Il post del PO è valido. Il problema numero uno nella registrazione, nella segnalazione degli errori e negli avvisi è il rumore bianco. Quando vengono segnalati troppi "errori" e la maggior parte di essi ha una priorità bassa o non presenta alcuna preoccupazione, gli amministratori tendono a ignorare TUTTI gli errori. Bene o male, questo è solo un dato di fatto.

Uno degli errori di cui sta parlando è (penso) l'ID evento 1111. Significa semplicemente che hai una stampante mappata con un driver che non è disponibile sul server a cui sei connesso. È un errore che non preoccupa nella maggior parte dei casi ... non c'è nulla da "riparare" in quanto non è un problema.

Se vuoi trovare problemi reali e hai specifici ID evento che non ti interessano, crea una vista personalizzata con i seguenti passaggi:

  1. Nel registro eventi fai clic su "Filtra registro corrente" nel riquadro azioni.
  2. Circa a metà della finestra di dialogo che appare, troverai una casella di testo con <All Event IDs>
  3. Sostituisci questo testo con le tue esigenze di filtro.
    • Se desideri solo un determinato evento, inserisci l'ID dell'evento.
    • Se hai multipli, usa le virgole per separare.
    • Se si desidera escludere, utilizzare un segno meno.
    • In questo caso utilizzeremo "-1111" (senza le virgolette ovviamente).
  4. Fai clic su "OK" nella finestra di dialogo.
  5. Nel riquadro azioni ora fai clic su "Salva filtro nella vista personalizzata".

Ora, quando si desidera esaminare il registro eventi, utilizzare la visualizzazione personalizzata e verranno visualizzate solo le informazioni di cui si è veramente interessati.

So che questo è un post in ritardo su un thread morto, ma spero che aiuti qualcun altro che sta cercando su Google questo più dei post di "[Funzionando come previsto, n00b!]" ;-)

Chad Patrick
fonte
6
Questo è filtraggio, non rimozione. A dire il vero, hai dato un'ottima (e utile) risposta a una domanda che non è stata posta.
mfinni,
1
@mfinni, E a dire il vero non aveva dato alcuna risposta alla domanda posta . La domanda posta da 35k visitatori a questa pagina.
Pacerier,
4
Questa è una risposta grande e utile che corrisponde al meglio all'intento della domanda originale, date le limitazioni imposte da Microsoft.
Mike Beaton,
2
Penso che i commenti su entrambi i lati siano validi. Le informazioni sul filtro sono molto più utili della semplice risposta a "non puoi". La risposta accettata è la risposta giusta e l'ho fatta +1. Anche la risposta di @ chad-patrick è molto utile, e ho fatto +1 anche su questo. Ma c'è un difetto nella risposta di Chad, non dovresti semplicemente usare un segno meno sugli ID evento , poiché alcune app usano gli stessi numeri. È necessario un filtro più rigoroso sul provider e sull'ID evento. Poiché i dettagli al riguardo sono fuori contesto, ecco un link iniziale: bit.ly/1d9seDp
TonyG
4

L'unica cosa che puoi fare in Windows è cancellare l'intero registro. Ho trovato solo un'app di terze parti che afferma di farlo - Winzapper , tuttavia non l'ho mai usata e afferma che è per NT e 2000, quindi non so se funzionerà per il server 2003/2008. Tenere presente che esiste il rischio di corruzione del registro eventi quando si utilizzano questi, quindi procedere con cautela.

Sam Cogan
fonte
1

Ciò che potrebbe risolvere il tuo problema è cambiare i criteri di controllo nei criteri di gruppo. Senza sapere che cosa specificamente non vuoi mostrare, non sono sicuro che ci sia un'impostazione per questo, ma ecco un esempio.

In GPMC, eseguire il drill down tramite Configurazione computer - Impostazioni di Windows - Impostazioni di sicurezza - Criteri locali - Criteri di controllo. Non c'è un sacco di granularità qui, ma forse puoi liberarti di ciò che riempie i tuoi registri. (I miei DC non sono del 2008, quindi questo è quello che ho dal punto di vista del 2003 d.C., spero che non sia completamente diverso)

Kara Marfia
fonte
Buon punto, ma non cancellerò i log esistenti . Influisce solo sui registri futuri.
Pacerier,
-1

È possibile scrivere un'applicazione .net per eliminare il registro eventi e l'origine eventi.

Esempio di codice sorgente come di seguito:

class Program
{
    static void Main(string[] args)
    {
        System.Diagnostics.EventLog.DeleteEventSource("YourEventSourceName");
        System.Diagnostics.EventLog.Delete("YourEventName");
    }
}

Riferimento: http://msdn.microsoft.com/en-us/library/system.diagnostics.eventlog(v=vs.100).aspx

qifahuang
fonte
Come posso cancellare TUTTE le voci Registro eventi applicazioni ?, non cancellare Registro eventi applicazioni, solo le voci
Kiquenet
Qualcuno lo aveva testato? Funziona con tutti gli eventi?
Pacerier,
-1

È possibile eliminare la voce da questo percorso del registro di condivisione per rimuovere l'evento:

HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ EventLog

Aashish Gupta
fonte
No, non è possibile eliminare un evento specifico da lì. Da qui è possibile eliminare / rovinare registri e provider di eventi. Non è la stessa cosa
Rob Moir,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.