Wie kann ich bestimmte Ereignisse aus dem Ereignisprotokoll in Windows Server 2008 entfernen?

20

Benötige ich dazu ein Drittanbieter-Tool?

windows-server-2008  windows-event-log 
JC.
quelle
4
Ich auch. Nur böse Dinge kommen in den Sinn.
Stu Thompson
2
Auch dafür habe ich eine Bitte. Beispiel: RDP hat einige Probleme mit einem meiner Drucker. Es wird im App-Protokoll mit einem großen fetten X angezeigt, das dann ALL OVER abgerufen wird (insbesondere auf Domänencontrollern, z. B. dcdiag usw.) und viel mehr Probleme verursacht. Vielleicht ist die bessere Frage: Wie kann die Protokollierung bestimmter Arten von Fehlern unterdrückt werden?
Matt Rogish
3
Das Böse, ha. Ich hatte eine App, die versehentlich Nachrichten schrieb, die Probleme mit einem Benachrichtigungsdienst verursachten.
JC.
2
@Matt Rogish Die Möglichkeit, die Protokollierung eines bestimmten Fehlertyps zu unterdrücken, besteht darin, den Fehler zu beheben. Die Tatsache, dass es sich um ein Protokollierungsproblem handelt, deutet darauf hin, dass etwas nicht stimmt, das behoben werden sollte, und nicht darauf, dass Sie freundlich daran erinnert werden, Ihr Auto mit Benzin zu füllen.
mrTomahawk
1
Es ist mein eigener Dienst, den ich geschrieben habe. Ich war nur neugierig, ob es geht.
JC.

Antworten:

18

Microsoft verhindert dies absichtlich. Das gesamte Konzept der Ereignisanzeige besteht darin, Ihnen bestimmte Ereignisse zu präsentieren, die möglicherweise Ihre Aufmerksamkeit erfordern. Wenn man ein zufälliges Ereignis löschen könnte, könnte das System in gewisser Weise kompromittiert werden, ohne dass Sie es merken, was es unsicher macht.

Wenn ein Fehlerereignis protokolliert wurde, ermitteln Sie die Ursache des Problems und beheben Sie das Problem. Sie möchten kein Loch in einen Damm flicken, indem Sie einen Kaugummi in das Loch stecken.

Wenn Informationen oder Warnmeldungen zu häufig protokolliert werden, enthält die Ereignisprotokollquelle (entweder Microsoft oder ein Drittanbieter) häufig Einstellungen, die angeben, wie oft oder auf welcher Ebene die Protokollierung für die Anwendung konfiguriert ist. Hier können Sie die Protokollierung minimieren, indem Sie keine Eingriffe im Ereignisprotokoll vornehmen.

mrTomahawk
quelle
4
Nur ein Administrator sollte auf Protokolle zugreifen können. Wenn ein böswilliger Benutzer Administratorrechte für Ihre Box erworben hat, ist dies bereits erledigt.
Bambams
2
@ mrTomahawk, das ist irrelevant. Anscheinend fragt jemand "Wie kann ich bestimmte Ereignisse aus dem Ereignisprotokoll in Windows Server 2008 entfernen?" will es tun. Wie können wir das machen? Wenn es nicht möglich ist, warum? Wie könnte es möglich sein, dass es nicht möglich ist?
Pacerier
Sie haben einen gültigen Punkt. Aber wie filtert man die Ereignisse heraus, anstatt sie zu löschen? Wenn wir viel Lärm von etwas bekommen und daran arbeiten, aber wir wollen auch sehen, was sonst noch Probleme hat, wie machen wir das?
John Rocha
1
@JohnRocha Aus einer schnellen Suche geht hervor, dass die Filterung keinen "Nicht" -Operator enthält. Welches scheint absurd.
Reirab
1
@JohnRocha Für benutzerdefinierte Abfragen im Ereignisprotokoll wird eine begrenzte Teilmenge von XPath 1.0 verwendet, um Abfragen im XML-Format zu schreiben. XPath-Ausdrücke im Select-Element bestimmen, was Sie abrufen. Das Suppress-Element folgt auf Select und entfernt Elemente, die Sie nicht möchten.
JamieSee
34

Der Beitrag des OP ist gültig. Das Hauptproblem bei der Protokollierung, Fehlerberichterstattung und Warnung ist weißes Rauschen. Wenn zu viele "Fehler" gemeldet werden und die meisten von ihnen eine niedrige Priorität haben oder überhaupt keine Bedeutung haben, ignorieren Administratoren ALLE Fehler. Gut oder schlecht, das ist nur eine Tatsache des Lebens.

Einer der Fehler, von dem er spricht, ist (glaube ich) die Ereignis-ID 1111. Dies bedeutet lediglich, dass auf Ihrem Drucker ein Treiber zugeordnet ist, der auf dem Server, mit dem Sie verbunden sind, nicht verfügbar ist. In den meisten Fällen ist dies ein unbedeutender Fehler. Es gibt nichts zu "beheben", da dies kein Problem darstellt.

Wenn Sie nach tatsächlichen Problemen suchen und über bestimmte Ereignis-IDs verfügen, die Sie nicht aussortieren möchten, erstellen Sie eine benutzerdefinierte Ansicht mit den folgenden Schritten:

  1. Klicken Sie in Ihrem Ereignisprotokoll im Aktionsbereich auf "Aktuelles Protokoll filtern".
  2. Etwa auf halber Höhe des angezeigten Dialogfelds finden Sie ein Textfeld mit <All Event IDs>
  3. Ersetzen Sie diesen Text durch Ihren Filterbedarf.
    • Wenn Sie nur ein bestimmtes Ereignis wünschen, geben Sie diese Ereignis-ID dort ein.
    • Wenn Sie mehrere Zeichen haben, trennen Sie diese durch Kommas.
    • Wenn Sie ausschließen möchten, verwenden Sie ein Minuszeichen.
    • In diesem Fall würden wir "-1111" verwenden (natürlich ohne Anführungszeichen).
  4. Klicken Sie im Dialogfeld auf "OK".
  5. Klicken Sie nun im Aktionsbereich auf "Filter in benutzerdefinierter Ansicht speichern".

Wenn Sie jetzt Ihr Ereignisprotokoll anzeigen möchten, verwenden Sie Ihre benutzerdefinierte Ansicht, und nur die Informationen, die Sie wirklich interessieren, werden angezeigt.

Ich weiß, dass dies ein später Beitrag zu einem toten Thread ist, aber hoffentlich hilft es jemand anderem, der dies googelt, mehr als Beiträge von "[Arbeiten wie beabsichtigt, n00b!]" ;-)

Chad Patrick
quelle
6
Das ist Filtern, nicht Entfernen. Sie haben eine großartige (und nützliche) Antwort auf eine Frage gegeben, die nicht gestellt wurde, um ehrlich zu sein.
mfinni
1
@mfinni, Und um ehrlich zu sein, hatte er auf die gestellte Frage keine Antwort gegeben . Die Frage stellen sich 35.000 Besucher dieser Seite.
Pacerier
4
Dies ist eine großartige und nützliche Antwort, die in Anbetracht der von Microsoft auferlegten Einschränkungen so gut wie möglich mit der Absicht der ursprünglichen Frage übereinstimmt .
Mike Beaton
2
Ich denke, Kommentare auf beiden Seiten sind gültig. Informationen zum Filtern sind viel hilfreicher, als einfach eine Antwort bei "Sie können nicht" zu hinterlassen. Die akzeptierte Antwort ist die richtige und ich habe sie +1 gegeben. Die Antwort von @ chad-patrick ist auch sehr hilfreich, und ich habe dies auch +1 gegeben. Die Antwort von Chad weist jedoch einen Fehler auf. Sie sollten bei Ereignis-IDs nicht nur ein Minuszeichen verwenden , da einige Apps dieselben Zahlen verwenden. Für den Anbieter und die Ereignis-ID ist eine strengere Filterung erforderlich. Da Einzelheiten dazu nicht im Zusammenhang stehen, folgt hier ein Startlink : bit.ly/1d9seDp
TonyG
4

In Windows können Sie nur das gesamte Protokoll löschen. Ich habe nur eine Drittanbieter-App gefunden, die behauptet, dies zu tun - Winzapper . Ich habe sie jedoch noch nie verwendet und es wird angegeben, dass sie für NT und 2000 ist. Daher weiß ich nicht, ob sie für Server 2003/2008 funktioniert. Beachten Sie, dass das Ereignisprotokoll beschädigt werden kann, wenn Sie diese verwenden. Gehen Sie also vorsichtig vor.

Sam Cogan
quelle
1

Möglicherweise können Sie Ihr Problem lösen, indem Sie die Überwachungsrichtlinien in den Gruppenrichtlinien ändern. Ohne zu wissen, was genau Sie nicht anzeigen möchten, bin ich mir nicht sicher, ob es eine Einstellung dafür gibt, aber hier ist ein Beispiel.

Führen Sie in der Gruppenrichtlinien-Verwaltungskonsole einen Drilldown durch Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Überwachungsrichtlinie durch. Es gibt hier keine TONNE Granularität, aber vielleicht können Sie loswerden, was Ihre Protokolle füllt. (Meine DCs sind nicht 2008, das ist also, was ich aus der Perspektive von 2003 n. Chr. Habe, hoffentlich ist es nicht ganz anders.)

Kara Marfia
quelle
Guter Punkt, aber ich lösche nicht die vorhandenen Protokolle. Dies betrifft nur zukünftige Protokolle.
Pacerier
-1

Sie können eine .NET-Anwendung schreiben, um das Ereignisprotokoll und die Ereignisquelle zu löschen.

Beispielquellcode wie folgt:

class Program
{
    static void Main(string[] args)
    {
        System.Diagnostics.EventLog.DeleteEventSource("YourEventSourceName");
        System.Diagnostics.EventLog.Delete("YourEventName");
    }
}

Referenz: http://msdn.microsoft.com/en-us/library/system.diagnostics.eventlog(v=vs.100).aspx

Qifahuang
quelle
Wie kann ich ALLE Einträge löschen? Anwendungsereignisprotokoll nicht löschen, nur die Einträge
Kiquenet
Hatte das jemand getestet? Funktioniert das für alle Events?
Pacerier
-1

Sie können den Eintrag von diesem Registrierungsspeicherort für Freigaben löschen, um das Ereignis zu entfernen:

HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ services \ eventlog

Aashish Gupta
quelle
Nein, Sie können dort kein bestimmtes Ereignis löschen. Sie können Ereignisprotokolle und Anbieter von dort löschen / ruinieren. Nicht dasselbe.
Rob Moir
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.