Назад | Перейти на главную страницу

Почему журнал событий приложений очищается каждую ночь?

У нас есть инструмент автоматического развертывания, который автоматически устанавливает последнюю версию нашего программного обеспечения на рабочий сервер каждую ночь в 21:00. Это хорошо работает уже долгое время.

Совсем недавно я начал замечать, что каждый раз, когда программное обеспечение устанавливается, журнал событий приложений очищается примерно в то время, когда установка завершается. Я не могу поверить, что наше приложение делает это, потому что у нас нет никакого кода, который очищает журнал событий. Мы делаем записи в журнале событий приложений, но это не изменилось за последние годы.

Я проверил журнал системных событий и обнаружил событие, указывающее на то, что журнал событий приложения был очищен: «Файл журнала приложений был очищен». Когда я проверял детали события, я определил, что svchost.exe - это служба, которая очистила его на основе идентификатора процесса. Пользователь, который очистил его, был NT AUTHORITY \ SYSTEM.

Я проверил службы, работающие под идентификатором процесса, который очистил журнал событий, и обнаружил три службы:

Настройки журнала событий приложений показаны на следующем снимке экрана. Когда журнал очищается, в нем всего около 20 записей, что намного ниже предельного размера, поэтому я не понимаю, почему он будет очищаться из-за заполнения.

Я подозреваю, что у вас может быть запланированная задача по очистке журнала событий. Проверьте планировщик задач и посмотрите, есть ли что-нибудь для запуска в это время.