Нужен ли мне для этого сторонний инструмент?
Сообщение OP действительное. Проблема номер один с регистрацией, отчетами об ошибках и предупреждениями - это белый шум. Когда сообщается о слишком большом количестве «ошибок» и большинство из них имеют низкий приоритет или вообще не вызывают беспокойства, администраторы склонны игнорировать ВСЕ ошибки. Хорошо это или плохо, это просто факт жизни.
Одна из ошибок, о которой он говорит, - это (я думаю) идентификатор события 1111. Это просто означает, что у вас есть принтер, подключенный к драйверу, который недоступен на сервере, к которому вы подключены. В большинстве случаев это ошибка, не вызывающая беспокойства ... "исправить" нечего, потому что это не проблема.
Если вы хотите найти актуальные проблемы и у вас есть конкретные идентификаторы событий, которые вам не нужно отсеивать, создайте собственное представление, выполнив следующие действия:
<All Event IDs>Теперь, когда вы хотите просмотреть журнал событий, используйте настраиваемое представление, и будет отображаться только та информация, которая вас действительно интересует.
Я знаю, что это поздняя публикация в мертвой теме, но, надеюсь, она поможет кому-то еще, кто ищет это в Google больше, чем сообщения «[Работает по назначению, n00b!]» ;-)
Microsoft намеренно мешает вам это сделать. Вся концепция средства просмотра событий состоит в том, чтобы представить вам определенные события, которые могут потребовать вашего внимания. Если бы можно было зайти и удалить любое случайное событие, то система могла бы - в некотором смысле - быть взломана без вашего ведома, что сделало бы ее небезопасной.
Если у вас зарегистрировано событие ошибки, выясните, что вызывает проблему, и устраните ее. Вы же не хотите залатать дыру в дамбе, воткнув в нее комок жевательной резинки.
Если что-то слишком часто регистрирует информационные или предупреждающие события, то во многих случаях источник журнала событий (Microsoft или сторонний производитель) имеет какой-либо параметр, который указывает, как часто или какой уровень ведения журнала настроен для приложения. Это то место, куда вы идете, чтобы свести к минимуму ведение журнала, а не выполнять операции с журналом событий.
Единственное, что вы можете сделать в Windows, - это очистить весь журнал. Я нашел только одно стороннее приложение, которое утверждает, что это делает -Winzapper, однако я никогда не использовал его, и в нем говорится, что он предназначен для NT и 2000, поэтому я не знаю, будет ли он работать на сервере 2003/2008. Имейте в виду, что при их использовании существует вероятность повреждения журнала событий, поэтому будьте осторожны.
Что может решить вашу проблему, так это изменение политик аудита в групповой политике. Не зная, что конкретно вы хотите не показывать, я не уверен, есть ли для этого настройка, но вот пример.
В консоли управления групповыми политиками перейдите к разделу Конфигурация компьютера - Параметры Windows - Параметры безопасности - Локальные политики - Политика аудита. Здесь нет ТОННЫ детализации, но, возможно, вы сможете избавиться от того, что заполняет ваши журналы. (Мои контроллеры домена не 2008 года, так что это то, что у меня есть с точки зрения AD 2003 года, надеюсь, это не совсем другое)
Не существует поддерживаемого способа удаления отдельных записей журнала из журналов событий Windows. Это сделано специально по ряду очень веских причин.
Лучший способ устранить нежелательные записи журнала - обработать события, которые их генерируют, в приложении. Кроме того, выбор соответствующего уровня журнала, т. Е. Подробного, информационного, предупреждения, ошибки и критической ошибки, для каждого записываемого сообщения является важным компонентом при предоставлении журналов, которые легко фильтровать. Некоторые платформы ведения журнала также предоставляют возможность объединять повторяющиеся идентичные события в одну запись журнала с подсчетом.
К сожалению, я видел довольно много комментариев от людей, которым не хватает фундаментального понимания ключевых концепций компьютерной безопасности. События в журнале, особенно журнал событий безопасности, неизменны по какой-то причине. Если бы события в журнале событий безопасности могли быть удалены, вы значительно снизили бы безопасность компьютера, чем если бы в журнале был чей-то пароль, потому что они ввели его в неправильное текстовое поле. Хорошие разработчики ОС знают, что люди делают ошибки и что пароль пользователя может отображаться в журнале событий безопасности. Это одна из причин, по которой журналы событий безопасности могут просматривать только администраторы.
Однако предоставление возможности удалять отдельные события из журнала безопасности позволяет злоумышленнику скрыть свои действия таким способом, который гораздо труднее обнаружить, чем когда очистка всего журнала является единственной доступной операцией типа удаления. В качестве примера обратитесь к разделу Cover Tracks на сайте Open Web Application Security Project (OWASP). Обработка ошибок, аудит и регистрация страница, на которой говорится:
Обложка треков
Главный приз в атаках на механизм журналирования достается сопернику, который может удалять или изменять записи журнала на детальном уровне, «как будто событие и не произошло!». Вторжение и развертывание руткитов позволяет злоумышленнику использовать специализированные инструменты, которые могут помочь или автоматизировать манипуляции с известными файлами журналов. В большинстве случаев файлами журналов могут управлять только пользователи с правами root / администратора или через утвержденные приложения для работы с журналами. Как правило, механизмы регистрации должны быть нацелены на предотвращение манипуляций на детальном уровне, поскольку злоумышленник может скрывать свои следы в течение значительного периода времени, не будучи обнаруженным. Простой вопрос; Если бы вы были скомпрометированы злоумышленником, было бы вторжение более очевидным, если бы ваш файл журнала был слишком большим или маленьким или если бы он выглядел как журнал любого другого дня?
Я бы также сказал, что любой, у кого есть административный доступ к системе, должен с самого начала проявлять более высокий уровень осторожности и внимания к деталям. Частью этого является повторная проверка работы по мере ее выполнения и остановка для чтения даже общих диалоговых окон, чтобы защититься от серьезных ошибок.
Смотрите также:
Вы можете написать приложение .net для удаления журнала событий и источника событий.
Пример исходного кода, как показано ниже:
class Program
{
static void Main(string[] args)
{
System.Diagnostics.EventLog.DeleteEventSource("YourEventSourceName");
System.Diagnostics.EventLog.Delete("YourEventName");
}
}
Ссылка: http://msdn.microsoft.com/en-us/library/system.diagnostics.eventlog(v=vs.100).aspx
Вы можете удалить запись из этого места в реестре общего ресурса, чтобы удалить событие:
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ services \ eventlog