我想过滤掉警告,但在事件查看器中保留特定事件的错误和严重事件。
能"EnableLevel"=dword:00000002做到这一点吗?
例如
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\WMI\Autologger\EventLog-System\{1c95126e-7eea-49a9-a3fe-a378b03ddb4d}]
"EnableLevel"=dword:00000002
; Default = 0, everything is logged
我试图从系统日志中过滤的警告事件是随机发生的,有时事件间隔几天,因此很难确定更改值是否确实有效。
文档似乎表明这2就是我只想记录错误和严重级别事件的内容。
从这里
Microsoft定义了1-5级的语义,如下所示。
| Value | Meaning |
|-----------------------------|--------------------------------------------|
| TRACE_LEVEL_CRITICAL (1) | Abnormal exit or termination events |
| TRACE_LEVEL_ERROR (2) | Severe error events |
| TRACE_LEVEL_WARNING (3) | Warning events such as allocation failures |
| TRACE_LEVEL_INFORMATION (4) | Non-error informational events |
| TRACE_LEVEL_VERBOSE (5) | Detailed diagnostic events |
我必须发挥创意来测试这一点,但我相信我已经学到了以下内容:
注:除了0-5级外,还有其他级别。我不确定详细日志记录了什么,可能是为了调试。我见过高达 255 的级别,可能也是为了调试。
据我所知,位掩码值不起作用。也就是说,没有
OR操作员可以选择只记录日志Critical OR Information。我在任何地方都找不到答案的文档,所以希望这对某人有帮助。如果有人对正确的规范答案有第一手的了解,请发布它,我会将其标记为正确。