JC. Asked: 2009-05-15 11:11:01 +0800 CST2009-05-15 11:11:01 +0800 CST 2009-05-15 11:11:01 +0800 CST 如何从 Windows Server 2008 的事件日志中删除特定事件? 772 我需要第三方工具吗? windows-server-2008 windows-event-log 7 个回答 Voted Chad Patrick 2011-03-23T06:39:07+08:002011-03-23T06:39:07+08:00 OP的帖子是有效的。日志记录、错误报告和警报的第一个问题是白噪声。当报告太多“错误”并且其中大多数是低优先级或根本不关心时,管理员往往会忽略所有错误。好与坏,这只是生活中的事实。 他所说的错误之一是(我认为)事件 ID 1111。这仅意味着您的打印机映射了您所连接的服务器上不可用的驱动程序。在大多数情况下,这是一个无关紧要的错误......没有什么可以“修复”,因为它不是问题。 如果您想找到实际问题并且您有特定的事件 ID,您不想清除它们,请使用以下步骤创建自定义视图: 在您的事件日志中,单击操作窗格中的“过滤当前日志”。 大约在弹出的对话框的一半处,您会发现一个文本框<All Event IDs> 将此文本替换为您的过滤器需求。 如果您只想要某个事件,请将那个事件 ID 放在那里。 如果您有多个,请使用逗号分隔。 如果要排除,请使用减号。 在这种情况下,我们将使用“-1111”(当然不带引号)。 在对话框中单击“确定”。 在操作窗格中,您现在单击“将过滤器保存到自定义视图”。 现在,当您希望查看事件日志时,使用您的自定义视图,只会显示您真正关心的信息。 我知道这是一个死线程的后期帖子,但希望它可以帮助其他在谷歌上搜索此内容的人,而不是“[按预期工作,n00b!]”的帖子;-) Best Answer mrTomahawk 2009-05-15T11:36:21+08:002009-05-15T11:36:21+08:00 Microsoft 故意阻止您这样做。事件查看器的整个概念是向您展示可能需要您注意的某些事件。如果有人可以进入并删除任何随机事件,那么从某种意义上说,系统可能会在您不知情的情况下受到损害,从而使其不安全。 如果您记录了错误事件,请找出导致问题的原因并进行修复。你不想通过在洞里贴一团口香糖来修补水坝上的洞。 如果某些东西过于频繁地记录信息或警告事件,那么很多时候事件日志源(Microsoft 或第三方)都有一些设置来指示为应用程序配置日志记录的频率或级别。那是你去最小化日志记录的地方,而不是通过对事件日志进行手术。 Sam Cogan 2009-05-15T11:16:27+08:002009-05-15T11:16:27+08:00 您在 Windows 中唯一能做的就是清除整个日志。我只找到了一个声称这样做的第三方应用程序 - Winzapper,但是我从未使用过它,它说它适用于 NT 和 2000,所以我不知道它是否适用于服务器 2003/2008。请注意,使用这些时可能会损坏事件日志,因此请谨慎行事。 Kara Marfia 2009-05-15T12:30:25+08:002009-05-15T12:30:25+08:00 可以解决您的问题的是更改组策略中的审核策略。在不知道您不想显示的具体内容的情况下,我不确定是否有设置,但这里有一个示例。 在 GPMC 中,向下钻取计算机配置 - Windows 设置 - 安全设置 - 本地策略 - 审核策略。这里没有大量的粒度,但也许你可以摆脱那些填满你的日志的东西。(我的 DC 不是 2008 年,所以这是我从 2003 年 AD 的角度得到的,希望不会完全不同) JamieSee 2019-12-21T15:10:53+08:002019-12-21T15:10:53+08:00 不支持从 Windows 事件日志中删除单个日志条目的方法。出于许多很好的原因,这是故意设计的。 处理不需要的日志条目的最佳方法是处理在应用程序中适当地生成它们的事件。此外,为每条正在写入的消息选择适当的日志级别,即详细、信息、警告、错误和严重错误,是提供易于过滤的日志的重要组成部分。一些日志框架还提供了将重复的相同事件汇总到单个日志条目的能力。 不幸的是,我看到很多人的评论似乎缺乏对关键计算机安全概念的基本掌握。日志中的事件,尤其是安全事件日志,是不可变的,这是有原因的。如果可以删除安全事件日志中的事件,那么您将大大降低计算机的安全性,而不是在日志中保留某人的密码,因为他们在错误的文本框中输入了密码。优秀的操作系统设计人员知道人们会犯错误,并且用户的密码可能会出现在安全事件日志中。这也是为什么只允许管理员查看安全事件日志的原因之一。 然而,提供从安全日志中删除单个事件的能力,允许攻击者以一种比清除整个日志更难发现的方式隐藏他们的活动,这是提供的唯一删除类型操作。例如,请参阅 Open Web Application Security Project (OWASP) 站点的错误处理、审计和日志记录页面上的 Cover Tracks 部分,其中指出: 覆盖轨道 日志机制攻击的最高奖项归于能够在粒度级别删除或操作日志条目的竞争者,“就好像事件从未发生过一样!”。入侵和部署 rootkit 允许攻击者利用专门的工具来协助或自动操作已知的日志文件。在大多数情况下,日志文件只能由具有 root / 管理员权限的用户或通过批准的日志操作应用程序来操作。作为一般规则,日志记录机制应该旨在防止在粒度级别上进行操纵,因为攻击者可以在相当长的时间内隐藏他们的踪迹而不会被发现。简单的问题;如果您被攻击者入侵,如果您的日志文件异常大或异常小,入侵会更加明显, 我进一步认为,任何对系统具有管理访问权限的人都应该从一开始就更加谨慎并注意细节。其中一部分是在执行工作时仔细检查工作,并停止阅读甚至常见的对话框,以防止破坏性错误。 也可以看看: 帮助!有人从我的 Windows 事件日志中删除了事件! 如何像黑客一样思考——Scott Culp 的 10 条不变的安全法则 qifahuang 2013-07-01T18:22:18+08:002013-07-01T18:22:18+08:00 您可以编写一个 .net 应用程序来删除事件日志和事件源。 示例源代码如下: class Program { static void Main(string[] args) { System.Diagnostics.EventLog.DeleteEventSource("YourEventSourceName"); System.Diagnostics.EventLog.Delete("YourEventName"); } } 参考: http: //msdn.microsoft.com/en-us/library/system.diagnostics.eventlog (v=vs.100).aspx Aashish Gupta 2018-03-21T05:07:12+08:002018-03-21T05:07:12+08:00 您可以从此共享注册表位置删除条目以删除事件: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\eventlog
OP的帖子是有效的。日志记录、错误报告和警报的第一个问题是白噪声。当报告太多“错误”并且其中大多数是低优先级或根本不关心时,管理员往往会忽略所有错误。好与坏,这只是生活中的事实。
他所说的错误之一是(我认为)事件 ID 1111。这仅意味着您的打印机映射了您所连接的服务器上不可用的驱动程序。在大多数情况下,这是一个无关紧要的错误......没有什么可以“修复”,因为它不是问题。
如果您想找到实际问题并且您有特定的事件 ID,您不想清除它们,请使用以下步骤创建自定义视图:
<All Event IDs>现在,当您希望查看事件日志时,使用您的自定义视图,只会显示您真正关心的信息。
我知道这是一个死线程的后期帖子,但希望它可以帮助其他在谷歌上搜索此内容的人,而不是“[按预期工作,n00b!]”的帖子;-)
Microsoft 故意阻止您这样做。事件查看器的整个概念是向您展示可能需要您注意的某些事件。如果有人可以进入并删除任何随机事件,那么从某种意义上说,系统可能会在您不知情的情况下受到损害,从而使其不安全。
如果您记录了错误事件,请找出导致问题的原因并进行修复。你不想通过在洞里贴一团口香糖来修补水坝上的洞。
如果某些东西过于频繁地记录信息或警告事件,那么很多时候事件日志源(Microsoft 或第三方)都有一些设置来指示为应用程序配置日志记录的频率或级别。那是你去最小化日志记录的地方,而不是通过对事件日志进行手术。
您在 Windows 中唯一能做的就是清除整个日志。我只找到了一个声称这样做的第三方应用程序 - Winzapper,但是我从未使用过它,它说它适用于 NT 和 2000,所以我不知道它是否适用于服务器 2003/2008。请注意,使用这些时可能会损坏事件日志,因此请谨慎行事。
可以解决您的问题的是更改组策略中的审核策略。在不知道您不想显示的具体内容的情况下,我不确定是否有设置,但这里有一个示例。
在 GPMC 中,向下钻取计算机配置 - Windows 设置 - 安全设置 - 本地策略 - 审核策略。这里没有大量的粒度,但也许你可以摆脱那些填满你的日志的东西。(我的 DC 不是 2008 年,所以这是我从 2003 年 AD 的角度得到的,希望不会完全不同)
不支持从 Windows 事件日志中删除单个日志条目的方法。出于许多很好的原因,这是故意设计的。
处理不需要的日志条目的最佳方法是处理在应用程序中适当地生成它们的事件。此外,为每条正在写入的消息选择适当的日志级别,即详细、信息、警告、错误和严重错误,是提供易于过滤的日志的重要组成部分。一些日志框架还提供了将重复的相同事件汇总到单个日志条目的能力。
不幸的是,我看到很多人的评论似乎缺乏对关键计算机安全概念的基本掌握。日志中的事件,尤其是安全事件日志,是不可变的,这是有原因的。如果可以删除安全事件日志中的事件,那么您将大大降低计算机的安全性,而不是在日志中保留某人的密码,因为他们在错误的文本框中输入了密码。优秀的操作系统设计人员知道人们会犯错误,并且用户的密码可能会出现在安全事件日志中。这也是为什么只允许管理员查看安全事件日志的原因之一。
然而,提供从安全日志中删除单个事件的能力,允许攻击者以一种比清除整个日志更难发现的方式隐藏他们的活动,这是提供的唯一删除类型操作。例如,请参阅 Open Web Application Security Project (OWASP) 站点的错误处理、审计和日志记录页面上的 Cover Tracks 部分,其中指出:
我进一步认为,任何对系统具有管理访问权限的人都应该从一开始就更加谨慎并注意细节。其中一部分是在执行工作时仔细检查工作,并停止阅读甚至常见的对话框,以防止破坏性错误。
也可以看看:
您可以编写一个 .net 应用程序来删除事件日志和事件源。
示例源代码如下:
参考: http: //msdn.microsoft.com/en-us/library/system.diagnostics.eventlog (v=vs.100).aspx
您可以从此共享注册表位置删除条目以删除事件: