Como posso remover eventos específicos do log de eventos no Windows Server 2008?

20

Preciso de uma ferramenta de terceiros para isso?

windows-server-2008  windows-event-log 
JC.
fonte
4
Eu também. Apenas coisas más vêm à mente.
Stu Thompson
3
Também tenho um pedido para isso. Por exemplo: O RDP tem alguns problemas com uma das minhas impressoras. Ele aparece no log do aplicativo com um X grande e gordo, que é coletado em TODO O EXCESSO (especialmente em controladores de domínio, por exemplo, dcdiag etc.) e causa muito mais problemas. Talvez a melhor pergunta seja: como suprimir o log de certos tipos de erros?
21411 Matt Rogish
3
Mal, ha. Eu tive um aplicativo acidentalmente gravar mensagens que estavam causando problemas com um serviço de notificação.
JC.
2
@ Matt Rogish, a maneira de suprimir o registro de um certo tipo de erro é corrigi-lo. O fato de estar registrando algum problema indica que algo está errado e que deve ser corrigido, e não um lembrete amigável para encher seu carro com gasolina.
MrTomahawk
11
É o meu próprio serviço que escrevi. Eu só estava curioso para saber se isso poderia ser feito.
JC.

Respostas:

18

A Microsoft intencionalmente impede você de fazer isso. Todo o conceito do Visualizador de Eventos é apresentar a você determinados eventos que podem exigir sua atenção. Se alguém pudesse entrar e excluir qualquer evento aleatório, o sistema poderia, de certa forma, ser comprometido sem você saber, tornando-o inseguro.

Se você tiver um evento de erro registrado, descubra o que está causando o problema e corrija-o. Você não quer consertar um buraco em uma barragem furando um chiclete no buraco.

Se algo estiver registrando eventos informativos ou de precaução com muita frequência, muitas vezes a origem do log de eventos (Microsoft ou terceiros) possui alguma configuração que indica com que frequência ou com que nível de log está configurado para o aplicativo. É aí que você minimiza o log, não fazendo cirurgia no log de eventos.

mrTomahawk
fonte
4
Somente um administrador deve ser capaz de acessar logs e, se um usuário mal-intencionado tiver adquirido privilégios administrativos na sua caixa, você já estará com problemas.
BamBams
2
@mrTomahawk, isso é irrelevante. Aparentemente, alguém perguntando "Como posso remover eventos específicos do log de eventos no Windows Server 2008?" quer fazer isso. Então, como podemos fazer isso? Se não for possível, por quê? Como é possível que não seja possível?
Pacerier 27/02
Você tem um ponto válido. Mas como filtrar os eventos, em vez de excluí-los? Se obtemos muito ruído de alguma coisa e estamos trabalhando nisso, mas também queremos ver o que mais está tendo problemas, como fazemos isso?
John Rocha
11
@JohnRocha De uma pesquisa rápida, parece que não há um operador "não" na filtragem. O que parece absurdo.
reirab 27/07
11
@JohnRocha A realização de consultas personalizadas no log de eventos usa um subconjunto limitado do XPath 1.0 para gravar consultas no formato XML. As expressões XPath no elemento Select determinam o que você recupera. O elemento Suprimir segue o Selecionar e remove os itens que você não deseja.
JamieSee
35

A postagem do OP é válida. O problema número um com registro, relatório de erros e alerta é ruído branco. Quando muitos "erros" são relatados e a maioria deles é de baixa prioridade ou de nenhuma preocupação, os administradores tendem a ignorar TODOS os erros. Bom ou ruim, isso é apenas um fato da vida.

Um dos erros dos quais ele está falando é (acho) o evento 1111. Isso significa simplesmente que você tem uma impressora mapeada com um driver que não está disponível no servidor ao qual você está conectado. Na maioria dos casos, é um erro que não preocupa ... não há nada para "consertar", pois não há problema.

Se você deseja encontrar problemas reais e possui IDs de eventos específicos nos quais você não deseja eliminar, crie uma exibição personalizada com as seguintes etapas:

  1. No seu log de eventos, clique em "Filtrar registro atual" no painel de ações.
  2. Na metade da caixa de diálogo exibida, você encontrará uma caixa de texto com <All Event IDs>
  3. Substitua este texto pelas suas necessidades de filtro.
    • Se você deseja apenas um determinado evento, insira esse ID de evento.
    • Se você tiver múltiplos, use vírgulas para separar.
    • Se você deseja excluir, use um sinal de menos.
    • Nesse caso, usaríamos "-1111" (sem as aspas, é claro).
  4. Clique em "OK" na caixa de diálogo.
  5. No painel de ações, você agora clica em "Salvar filtro na exibição personalizada".

Agora, quando você desejar examinar seu log de eventos, use sua visualização personalizada e apenas as informações com as quais você realmente se preocupa serão exibidas.

Eu sei que este é um post atrasado para um tópico morto, mas espero que ajude alguém que esteja pesquisando isso no Google mais do que posts de "[Trabalhando como pretendido, n00b!]" ;-)

Chad Patrick
fonte
6
Isso é filtrar, não remover. Você deu uma ótima (e útil) resposta a uma pergunta que não foi feita, para ser sincero.
mfinni 22/03
11
@mfinni, e para ser honesto, ele não tinha dado qualquer resposta à pergunta perguntou . Os 35k visitantes desta página estão fazendo a pergunta.
Pacerier 27/02
4
Este é um grande e útil resposta que corresponde à intenção da pergunta original sobre o melhor possível, dadas as limitações Microsoft impõem.
9788 Mike #
2
Eu acho que comentários de ambos os lados são válidos. Informações sobre filtragem são muito mais úteis do que simplesmente deixar uma resposta em "você não pode". A resposta aceita é a resposta certa e a marquei com +1. A resposta de @ chad-patrick também é muito útil, e eu marquei este com +1. Mas há uma falha na resposta do Chade, você não deve usar apenas um sinal de menos nas IDs de eventos , pois alguns aplicativos usam os mesmos números. É necessária uma filtragem mais rigorosa no provedor e no ID do evento. Desde detalhes sobre este está fora de contexto, aqui está um link de partida: bit.ly/1d9seDp
TonyG
4

A única coisa que você pode fazer no Windows é limpar o log inteiro. Eu encontrei apenas um aplicativo de terceiros que afirma fazer isso - o Winzapper , no entanto, nunca o usei e afirma que é para NT e 2000, então não sei se ele funcionará no servidor 2003/2008. Esteja ciente de que existe um potencial de corrupção do log de eventos ao usá-los; portanto, tome cuidado.

Sam Cogan
fonte
1

O que pode resolver seu problema é alterar as políticas de auditoria na política de grupo. Sem saber o que especificamente você deseja que não apareça, não tenho certeza se há uma configuração para isso, mas aqui está um exemplo.

No GPMC, faça uma busca detalhada em Configuração do computador - Configurações do Windows - Configurações de segurança - Diretivas locais - Diretiva de auditoria. Não há uma tonelada de granularidade aqui, mas talvez você possa se livrar do que está preenchendo seus logs. (Meus DCs não são 2008, então é isso que eu tenho da perspectiva de 2003 AD, espero que não seja completamente diferente)

Kara Marfia
fonte
Bom ponto, mas isso não exclui os logs existentes . Isso afeta apenas logs futuros.
Pacerier 27/02
-1

Você pode escrever um aplicativo .net para excluir o log de eventos e a fonte de eventos.

Exemplo de código-fonte como abaixo:

class Program
{
    static void Main(string[] args)
    {
        System.Diagnostics.EventLog.DeleteEventSource("YourEventSourceName");
        System.Diagnostics.EventLog.Delete("YourEventName");
    }
}

Referência: http://msdn.microsoft.com/en-us/library/system.diagnostics.eventlog(v=vs.100).aspx

qifahuang
fonte
Como posso limpar o registo todas as entradas de eventos de aplicações ?, não log eventos do aplicativo de exclusão, apenas as entradas
Kiquenet
Alguém tinha testado isso? Isso funciona para todos os eventos?
Pacerier 27/02
-1

Você pode excluir a entrada deste local do registro de compartilhamento para remover o evento:

HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ services \ eventlog

Aashish Gupta
fonte
Não, você não pode excluir um evento específico a partir daí. Você pode excluir / arruinar logs de eventos e provedores a partir daí. Não é a mesma coisa.
precisa
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.