Как я могу удалить определенные события из журнала событий в Windows Server 2008?

Пост ОП действителен. Проблема номер один с ведением журнала, отчетами об ошибках и предупреждением - это белый шум. Когда сообщается о слишком большом количестве "ошибок" и большинство из них имеют низкий приоритет или не имеют никакого значения, администраторы склонны игнорировать ВСЕ ошибки. Хорошо это или плохо, это просто факт жизни.

Одна из ошибок, о которых он говорит, - это (я думаю) событие с кодом 1111. Это просто означает, что у вас есть принтер, сопоставленный с драйвером, который недоступен на сервере, к которому вы подключены. В большинстве случаев это ошибка, которая не имеет значения... "исправить" нечего, так как это не проблема.

Если вы хотите найти реальные проблемы и у вас есть конкретные идентификаторы событий, которые вы не хотите пропустить, создайте собственное представление, выполнив следующие действия:

1. В журнале событий нажмите "Фильтровать текущий журнал" на панели действий.
2. Примерно на полпути вниз по всплывающему диалоговому окну вы найдете текстовое поле с <All Event IDs>
3. Замените этот текст вашими потребностями фильтра.
   • Если вы хотите только определенное событие, поместите его там.
   • Если у вас есть кратные, используйте запятые для разделения.
   • Если вы хотите исключить, используйте знак минус.
   • В этом случае мы будем использовать "-1111" (без кавычек, конечно).
4. Нажмите "ОК" в диалоговом окне.
5. На панели действий вы теперь нажимаете "Сохранить фильтр в пользовательском представлении".

Теперь, когда вы хотите просмотреть свой журнал событий, используйте свое собственное представление, и будет отображаться только та информация, которая вас действительно интересует.

Я знаю, что это поздний пост в мертвой ветке, но, надеюсь, он поможет кому-то еще, кто ищет это в Google, больше, чем посты "[Работая как задумано, n00b!]";-)

Единственное, что вы можете сделать в Windows, это очистить весь журнал. Я нашел только одно стороннее приложение, которое утверждает, что делает это - Winzapper, однако я никогда не использовал его и заявляет, что оно предназначено для NT и 2000, поэтому я не знаю, будет ли оно работать на сервере 2003/2008. Имейте в виду, что при их использовании возможно повреждение журнала событий, так что действуйте осторожно.

Что может решить вашу проблему, так это изменить политики аудита в групповой политике. Не зная, что конкретно вы хотите не показывать, я не уверен, есть ли настройки для этого, но вот пример.

В консоли управления групповыми политиками подробно выберите Конфигурация компьютера - Параметры Windows - Параметры безопасности - Локальные политики - Политика аудита. Здесь нет тонны детализации, но, возможно, вы можете избавиться от того, что заполняет ваши журналы. (Мои DC не 2008 года, так что это то, что я получил с точки зрения AD 2003 года, надеюсь, это не совсем другое)

Не существует поддерживаемого способа удаления отдельных записей журнала из журналов событий Windows. Это сделано специально по ряду очень веских причин.

Лучший способ устранить нежелательные записи журнала - обработать события, которые их генерируют, в приложении. Кроме того, выбор соответствующего уровня журнала, т. Е. Подробного, информационного, предупреждения, ошибки и критической ошибки, для каждого написанного сообщения является важным компонентом в предоставлении журналов, которые легко фильтровать. Некоторые платформы ведения журнала также предоставляют возможность объединять повторяющиеся идентичные события в одну запись журнала с подсчетом.

К сожалению, я видел довольно много комментариев от людей, которым, кажется, не хватает фундаментального понимания ключевых концепций компьютерной безопасности. События в журнале, особенно в журнале событий безопасности, неизменны по определенной причине. Если бы события в журнале событий безопасности могли быть удалены, вы значительно снизили бы безопасность компьютера, чем если бы в журнале был чей-то пароль, потому что они ввели его в неправильное текстовое поле. Хорошие разработчики ОС знают, что люди делают ошибки и что пароль пользователя может отображаться в журнале событий безопасности. Это одна из причин, по которой журналы событий безопасности могут просматривать только администраторы.

Однако предоставление возможности удалять отдельные события из журнала безопасности позволяет злоумышленнику скрыть свои действия таким способом, который гораздо труднее обнаружить, чем когда очистка всего журнала является единственной доступной операцией типа удаления. В качестве примера обратитесь к разделу "Треки обложки" на странице " Обработка ошибок, аудит и ведение журнала" сайта Open Web Application Security Project (OWASP), в котором говорится:

Обложка треков

Главный приз в атаках на механизм журналирования достается сопернику, который может удалять или изменять записи журнала на детальном уровне, "как будто событие и не произошло!". Вторжение и развертывание руткитов позволяет злоумышленнику использовать специализированные инструменты, которые могут помочь или автоматизировать манипуляции с известными файлами журналов. В большинстве случаев файлами журналов могут управлять только пользователи с правами root / администратора или через утвержденные приложения для работы с журналами. Как правило, механизмы регистрации должны быть нацелены на предотвращение манипуляций на детальном уровне, поскольку злоумышленник может скрывать свои следы в течение значительного периода времени, не будучи обнаруженным. Простой вопрос; Если бы вы были скомпрометированы злоумышленником, было бы вторжение более очевидным, если бы ваш файл журнала был слишком большим или маленьким, или если бы он выглядел как через день? журнал?

Я бы также сказал, что любой, у кого есть административный доступ к системе, должен с самого начала проявлять более высокий уровень осторожности и внимания к деталям. Частью этого является повторная проверка работы по мере ее выполнения и остановка для чтения даже общих диалоговых окон, чтобы защититься от серьезных ошибок.

Смотрите также:

• Помогите! Кто-то удалил события из моего журнала событий Windows!
• Как думать как хакер - 10 непреложных законов безопасности Скотта Калпа

Вы можете удалить запись из этого общего реестра, чтобы удалить событие:

HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ услуги \ EventLog

Вы можете написать приложение.net для удаления журнала событий и источника событий.

Пример исходного кода, как показано ниже:

class Program
{
    static void Main(string[] args)
    {
        System.Diagnostics.EventLog.DeleteEventSource("YourEventSourceName");
        System.Diagnostics.EventLog.Delete("YourEventName");
    }
}

Ссылка: http://msdn.microsoft.com/en-us/library/system.diagnostics.eventlog(v=vs.100).aspx