У нас есть инструмент автоматического развертывания, который автоматически устанавливает последнюю версию нашего программного обеспечения на рабочий сервер каждую ночь в 21:00. Это хорошо работает уже долгое время.
Совсем недавно я начал замечать, что каждый раз, когда программное обеспечение устанавливается, журнал событий приложений очищается примерно в то время, когда установка завершается. Я не могу поверить, что наше приложение делает это, потому что у нас нет никакого кода, который очищает журнал событий. Мы делаем записи в журнале событий приложений, но это не изменилось за последние годы.
Я проверил журнал системных событий и обнаружил событие, указывающее на то, что журнал событий приложения был очищен: «Файл журнала приложений был очищен». Когда я проверял детали события, я определил, что svchost.exe - это служба, которая очистила его на основе идентификатора процесса. Пользователь, который очистил его, был NT AUTHORITY \ SYSTEM.
Я проверил службы, работающие под идентификатором процесса, который очистил журнал событий, и обнаружил три службы:
Настройки журнала событий приложений показаны на следующем снимке экрана. Когда журнал очищается, в нем всего около 20 записей, что намного ниже предельного размера, поэтому я не понимаю, почему он будет очищаться из-за заполнения.
Я подозреваю, что у вас может быть запланированная задача по очистке журнала событий. Проверьте планировщик задач и посмотрите, есть ли что-нибудь для запуска в это время.