AskOverflow.Dev

AskOverflow.Dev Logo AskOverflow.Dev Logo

AskOverflow.Dev Navigation

  • 主页
  • 系统&网络
  • Ubuntu
  • Unix
  • DBA
  • Computer
  • Coding
  • LangChain

Mobile menu

Close
  • 主页
  • 系统&网络
    • 最新
    • 热门
    • 标签
  • Ubuntu
    • 最新
    • 热门
    • 标签
  • Unix
    • 最新
    • 标签
  • DBA
    • 最新
    • 标签
  • Computer
    • 最新
    • 标签
  • Coding
    • 最新
    • 标签
主页 / server / 问题 / 8339
Accepted
JC.
JC.
Asked: 2009-05-15 11:11:01 +0800 CST2009-05-15 11:11:01 +0800 CST 2009-05-15 11:11:01 +0800 CST

如何从 Windows Server 2008 的事件日志中删除特定事件?

  • 772

我需要第三方工具吗?

windows-server-2008 windows-event-log
  • 7 7 个回答
  • 121412 Views

7 个回答

  • Voted
  1. Chad Patrick
    2011-03-23T06:39:07+08:002011-03-23T06:39:07+08:00

    OP的帖子是有效的。日志记录、错误报告和警报的第一个问题是白噪声。当报告太多“错误”并且其中大多数是低优先级或根本不关心时,管理员往往会忽略所有错误。好与坏,这只是生活中的事实。

    他所说的错误之一是(我认为)事件 ID 1111。这仅意味着您的打印机映射了您所连接的服务器上不可用的驱动程序。在大多数情况下,这是一个无关紧要的错误......没有什么可以“修复”,因为它不是问题。

    如果您想找到实际问题并且您有特定的事件 ID,您不想清除它们,请使用以下步骤创建自定义视图:

    1. 在您的事件日志中,单击操作窗格中的“过滤当前日志”。
    2. 大约在弹出的对话框的一半处,您会发现一个文本框<All Event IDs>
    3. 将此文本替换为您的过滤器需求。
      • 如果您只想要某个事件,请将那个事件 ID 放在那里。
      • 如果您有多个,请使用逗号分隔。
      • 如果要排除,请使用减号。
      • 在这种情况下,我们将使用“-1111”(当然不带引号)。
    4. 在对话框中单击“确定”。
    5. 在操作窗格中,您现在单击“将过滤器保存到自定义视图”。

    现在,当您希望查看事件日志时,使用您的自定义视图,只会显示您真正关心的信息。

    我知道这是一个死线程的后期帖子,但希望它可以帮助其他在谷歌上搜索此内容的人,而不是“[按预期工作,n00b!]”的帖子;-)

    • 37
  2. Best Answer
    mrTomahawk
    2009-05-15T11:36:21+08:002009-05-15T11:36:21+08:00

    Microsoft 故意阻止您这样做。事件查看器的整个概念是向您展示可能需要您注意的某些事件。如果有人可以进入并删除任何随机事件,那么从某种意义上说,系统可能会在您不知情的情况下受到损害,从而使其不安全。

    如果您记录了错误事件,请找出导致问题的原因并进行修复。你不想通过在洞里贴一团口香糖来修补水坝上的洞。

    如果某些东西过于频繁地记录信息或警告事件,那么很多时候事件日志源(Microsoft 或第三方)都有一些设置来指示为应用程序配置日志记录的频率或级别。那是你去最小化日志记录的地方,而不是通过对事件日志进行手术。

    • 20
  3. Sam Cogan
    2009-05-15T11:16:27+08:002009-05-15T11:16:27+08:00

    您在 Windows 中唯一能做的就是清除整个日志。我只找到了一个声称这样做的第三方应用程序 - Winzapper,但是我从未使用过它,它说它适用于 NT 和 2000,所以我不知道它是否适用于服务器 2003/2008。请注意,使用这些时可能会损坏事件日志,因此请谨慎行事。

    • 4
  4. Kara Marfia
    2009-05-15T12:30:25+08:002009-05-15T12:30:25+08:00

    可以解决您的问题的是更改组策略中的审核策略。在不知道您不想显示的具体内容的情况下,我不确定是否有设置,但这里有一个示例。

    在 GPMC 中,向下钻取计算机配置 - Windows 设置 - 安全设置 - 本地策略 - 审核策略。这里没有大量的粒度,但也许你可以摆脱那些填满你的日志的东西。(我的 DC 不是 2008 年,所以这是我从 2003 年 AD 的角度得到的,希望不会完全不同)

    • 1
  5. JamieSee
    2019-12-21T15:10:53+08:002019-12-21T15:10:53+08:00

    不支持从 Windows 事件日志中删除单个日志条目的方法。出于许多很好的原因,这是故意设计的。

    处理不需要的日志条目的最佳方法是处理在应用程序中适当地生成它们的事件。此外,为每条正在写入的消息选择适当的日志级别,即详细、信息、警告、错误和严重错误,是提供易于过滤的日志的重要组成部分。一些日志框架还提供了将重复的相同事件汇总到单个日志条目的能力。

    不幸的是,我看到很多人的评论似乎缺乏对关键计算机安全概念的基本掌握。日志中的事件,尤其是安全事件日志,是不可变的,这是有原因的。如果可以删除安全事件日志中的事件,那么您将大大降低计算机的安全性,而不是在日志中保留某人的密码,因为他们在错误的文本框中输入了密码。优秀的操作系统设计人员知道人们会犯错误,并且用户的密码可能会出现在安全事件日志中。这也是为什么只允许管理员查看安全事件日志的原因之一。

    然而,提供从安全日志中删除单个事件的能力,允许攻击者以一种比清除整个日志更难发现的方式隐藏他们的活动,这是提供的唯一删除类型操作。例如,请参阅 Open Web Application Security Project (OWASP) 站点的错误处理、审计和日志记录页面上的 Cover Tracks 部分,其中指出:

    覆盖轨道

    日志机制攻击的最高奖项归于能够在粒度级别删除或操作日志条目的竞争者,“就好像事件从未发生过一样!”。入侵和部署 rootkit 允许攻击者利用专门的工具来协助或自动操作已知的日志文件。在大多数情况下,日志文件只能由具有 root / 管理员权限的用户或通过批准的日志操作应用程序来操作。作为一般规则,日志记录机制应该旨在防止在粒度级别上进行操纵,因为攻击者可以在相当长的时间内隐藏他们的踪迹而不会被发现。简单的问题;如果您被攻击者入侵,如果您的日志文件异常大或异常小,入侵会更加明显,

    我进一步认为,任何对系统具有管理访问权限的人都应该从一开始就更加谨慎并注意细节。其中一部分是在执行工作时仔细检查工作,并停止阅读甚至常见的对话框,以防止破坏性错误。

    也可以看看:

    • 帮助!有人从我的 Windows 事件日志中删除了事件!
    • 如何像黑客一样思考——Scott Culp 的 10 条不变的安全法则
    • 0
  6. qifahuang
    2013-07-01T18:22:18+08:002013-07-01T18:22:18+08:00

    您可以编写一个 .net 应用程序来删除事件日志和事件源。

    示例源代码如下:

    class Program
    {
        static void Main(string[] args)
        {
            System.Diagnostics.EventLog.DeleteEventSource("YourEventSourceName");
            System.Diagnostics.EventLog.Delete("YourEventName");
        }
    }
    

    参考: http: //msdn.microsoft.com/en-us/library/system.diagnostics.eventlog (v=vs.100).aspx

    • -1
  7. Aashish Gupta
    2018-03-21T05:07:12+08:002018-03-21T05:07:12+08:00

    您可以从此共享注册表位置删除条目以删除事件:

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\eventlog

    • -1

相关问题

  • 有没有办法在 LAN 上的所有事件日志中搜索特定事件?

  • 什么可能导致 IIS7 拒绝绑定到不允许导出私钥的证书?

  • 从 2003 年迁移到 2008 年 Microsoft 群集技术

  • 有什么理由使用 Windows Server 2003 而不是 Server 2008?

  • 是否可以在单个 W2008 服务器上安装 Exchange Server?

Sidebar

Stats

  • 问题 205573
  • 回答 270741
  • 最佳答案 135370
  • 用户 68524
  • 热门
  • 回答
  • Marko Smith

    SFTP 使用什么端口?

    • 6 个回答
  • Marko Smith

    从 IP 地址解析主机名

    • 8 个回答
  • Marko Smith

    如何按大小对 du -h 输出进行排序

    • 30 个回答
  • Marko Smith

    命令行列出 Windows Active Directory 组中的用户?

    • 9 个回答
  • Marko Smith

    Windows 中执行反向 DNS 查找的命令行实用程序是什么?

    • 14 个回答
  • Marko Smith

    如何检查 Windows 机器上的端口是否被阻塞?

    • 4 个回答
  • Marko Smith

    我应该打开哪个端口以允许远程桌面?

    • 9 个回答
  • Marko Smith

    什么是 Pem 文件,它与其他 OpenSSL 生成的密钥文件格式有何不同?

    • 3 个回答
  • Marko Smith

    如何确定bash变量是否为空?

    • 15 个回答
  • Martin Hope
    MikeN 在 Nginx 中,如何在维护子域的同时将所有 http 请求重写为 https? 2009-09-22 06:04:43 +0800 CST
  • Martin Hope
    Tom Feiner 如何按大小对 du -h 输出进行排序 2009-02-26 05:42:42 +0800 CST
  • Martin Hope
    0x89 bash中的双方括号和单方括号有什么区别? 2009-08-10 13:11:51 +0800 CST
  • Martin Hope
    kch 如何更改我的私钥密码? 2009-08-06 21:37:57 +0800 CST
  • Martin Hope
    Kyle Brandt IPv4 子网如何工作? 2009-08-05 06:05:31 +0800 CST
  • Martin Hope
    Noah Goodrich 什么是 Pem 文件,它与其他 OpenSSL 生成的密钥文件格式有何不同? 2009-05-19 18:24:42 +0800 CST
  • Martin Hope
    Brent 如何确定bash变量是否为空? 2009-05-13 09:54:48 +0800 CST
  • Martin Hope
    cletus 您如何找到在 Windows 中打开文件的进程? 2009-05-01 16:47:16 +0800 CST

热门标签

linux nginx windows networking ubuntu domain-name-system amazon-web-services active-directory apache-2.4 ssh

Explore

  • 主页
  • 问题
    • 最新
    • 热门
  • 标签
  • 帮助

Footer

AskOverflow.Dev

关于我们

  • 关于我们
  • 联系我们

Legal Stuff

  • Privacy Policy

Language

  • Pt
  • Server
  • Unix

© 2023 AskOverflow.DEV All Rights Reserve