Разделить журнал событий по источникам

Есть ли способ ограничить влияние одного source на log для журнала событий Windows?

т.е. большинство систем сообщают о событиях application Журнал событий. Одна система особенно громко заявляет о проблеме, регистрируя тысячи ошибок за несколько секунд, поскольку она постоянно повторяет и не выполняет определенные действия, не делая паузы между попытками. Это означает, что журнал событий системы-нарушителя ведется не только несколько минут назад, но и весь журнал событий. application log переполняется, теряется полезная информация из других систем на том же сервере.

Я ничего не могу сделать с системой-нарушителем (кроме ее отключения), но есть ли способ:

ограничить количество записей для одного source; т.е. чтобы он не мог заполнить весь log
переместить это source к другому log; чтобы приложение считало, что сообщает о проблемах в одно и то же место, но теперь они рассредоточены в другом месте?
сделать что-нибудь еще для защиты моих журналов от этого нарушителя?

Я попытался просто воссоздать источник в другом журнале (см. PowerShell ниже), но без всякой радости (новый журнал появляется, но приложение, похоже, может продолжать отправлять отчеты в старый журнал):

Remove-EventLog -Source 'OffendingAppSource'
New-EventLog -Source 'OffendingAppSource' -LogName 'OffendingAppLog'

windows-server-2008-r2 windows-event-log

Есть ли способ ограничить влияние одного источника на журнал для журнала событий Windows?

Я могу придумать четыре вещи, которые вы можете сделать, чтобы ограничить воздействие:

Система жестко запрограммирована для записи в этот журнал. Это не изменится без доступа к исходному коду. Обратитесь к создателю / поставщику системы и попросите записать в специальный журнал только для этого приложения.
Вы можете изменить частоту событий сбоя, создав задачу, запускаемую событием. Пусть ваша задача запускает событие, которое вызывает переполнение журнала, и запускает настраиваемый сценарий, чтобы остановить службу и выполнить некоторые проверки работоспособности перед перезапуском службы, когда все будет в порядке. Таким образом, у вас есть некоторый контроль над тем, как часто система регистрирует события сбоя.
Увеличьте размер файла журнала приложений и настройте журнал на автоматическое резервное копирование вместо перезаписи событий.
Настройте пересылку событий Windows в сборщик событий и подавите события из этого источника приложения в подписке на события. Это отлично подходит для сбора всех событий вашего сервера в одном центральном месте для просмотра или загрузки в SIEM (например, Splunk).