是否可以从事件查看器中过滤掉（删除）单个事件 ID？

编辑：要回答您编辑过的问题，我能想到的最简单的方法是按事件 ID 对事件日志进行排序，选择除要排除的事件之外的所有内容，然后Save Selected Events归档。它将保存为单个事件日志文件，然后您可以使用事件查看器打开该文件，并且不会包含您未选择的事件。

Powershell 是另一种选择，特别是如果您想对大量事件日志执行此操作，但我手头没有“排除事件 ID”PS 脚本，所以除非您问得好，否则我不会加强它。

现在不太相关的原始答案如下。

是的，这很简单，但会因您使用的 Windows 版本而略有不同。

下面的图片。

在 2008 或 Windows 7 中：

在 2003 或 XP 中：

您甚至可以使用 PowerShell 根据多种因素为您解析事件日志……但是内置过滤器非常好。

到目前为止（在 Windows Server 2019 上检查过）这很容易通过在 ID 前加上减号来完成（例如，要排除1000您将-1000在事件 ID 字段中键入）

我有一个非常相似的情况，我想过滤掉整个源而不是单个事件 ID。事实证明，它非常简单并且适用于任何事物：事件级别、事件源、任务类别、关键字、用户和计算机。

单击“过滤当前日志”，然后选择要过滤掉的内容。如果您不想看到任何信息级别的事件，请选中事件级别旁边的“信息”。如果您不想要任何带有“Audit Success”关键字的事件，请在关键字下选择“Audit Success”。在我的例子中，我想从 Security-SPP 源中过滤掉所有内容，所以我在事件源下选择了它。

图片示例

现在，打开 XML 选项卡并选中“手动编辑查询”。您会看到一个 <Select> 元素，里面有一堆文本。

例子：

<QueryList>
  <Query Id="0" Path="Application">
    <Select Path="Application">*[System[Provider[@Name='Microsoft-Windows-Security-SPP']]]</Select>
  </Query>
</QueryList>

复制开头的 <Select> 标签并将其粘贴到原始 <Select> 元素的正上方。然后，键入 * 并编写结束 </Select> 标记。

<QueryList>
  <Query Id="0" Path="Application">
    <Select Path="Application">*</Select>
    <Select Path="Application">*[System[Provider[@Name='Microsoft-Windows-Security-SPP']]]</Select>
  </Query>
</QueryList>

最后，通过更改开始和结束标记将原始 <Select> 元素更改为 <Suppress> 元素。

<QueryList>
  <Query Id="0" Path="Application">
    <Select Path="Application">*</Select>
    <Suppress Path="Application">*[System[Provider[@Name='Microsoft-Windows-Security-SPP']]]</Suppress>
  </Query>
</QueryList>

单击“确定”，然后单击 BAM！所有匹配该过滤器的事件都将消失！

之前的例子

例子后

我将按照我的解释来回答这个问题——如何过滤掉特定的事件 ID 值。

从事件查看器的“操作”中选择“过滤当前日志”选项中的“XML”选项卡。选中“手动编辑查询”框。

可以使用 XPath 进行自定义查询以过滤掉特定的事件 ID（或与此相关的其他属性）。在这里，我为 sysmon 来源的事件创建了一个过滤器，用于过滤掉 EventID 7 和 10：

 <QueryList>
   <Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">
     <Select Path="Microsoft-Windows-Sysmon/Operational">*[System[(EventID!=7)or(EventID!=10)]]</Select> 
   </Query>
 </QueryList>

一旦使用了 XPath，就无法恢复到旧的基于向导/GUI 的编辑器，但它为过滤器提供了更多的灵活性，因为可以使用任何 XPath 运算符。