it-swarm.cn

如何从Windows Server 2008中的事件日志中删除特定事件?

我需要第三方工具吗?

21
JC.

Microsoft故意阻止您执行此操作。事件查看器的整个概念是向您呈现某些可能需要您注意的事件。如果可以进入并删除任何随机事件,那么从某种意义上讲,系统可能会在不知情的情况下受到破坏,因此使其不安全。

如果记录了错误事件,请找出导致问题的原因并解决。您不想通过在洞中粘一团胶来修补洞。

如果某件事过于频繁地记录信息性事件或警告事件,则很多情况下,事件日志源(Microsoft或第三方)都具有某种设置,该设置指示为应用程序配置的频率或级别达到了什么级别。那是您要减少日志记录的地方,而不是对事件日志进行手术。

18
mrTomahawk

OP的职位有效。日志记录,错误报告和警报的首要问题是白噪声。当报告了太多的“错误”,并且其中大多数都是低优先级或根本没有问题时,管理员往往会忽略所有错误。好与坏,这只是生活中的事实。

他正在谈论的错误之一是(我认为)事件ID1111。这仅表示您有一个打印机映射有一个驱动程序,该驱动程序在您所连接的服务器上不可用。在大多数情况下,这是个无关紧要的错误……没有什么可以“修复”的,因为这不是问题。

如果您想找到实际的问题,并且不想使用特定的事件ID,请按照以下步骤创建自定义视图:

  1. 在事件日志中,单击操作窗格中的“筛选当前日志”。
  2. 在弹出的对话框的大约一半处,您会找到一个带有<All Event IDs>的文本框
  3. 将此文本替换为您的过滤器需求。
    • 如果只需要某个事件,则在该事件ID中放置该事件ID。
    • 如果有多个,请使用逗号分隔。
    • 如果要排除,请使用减号。
    • 在这种情况下,我们将使用“ -1111”(当然不带引号)。
  4. 在对话框上单击“确定”。
  5. 现在,在操作窗格中单击“将过滤器保存到自定义视图”。

现在,当您希望查看事件日志时,请使用自定义视图,仅显示您真正关心的信息。

我知道这是死线程的较晚发布,但希望它比“ [按预期工作,n00b!]” ;-)的发布对其他正在使用Google搜索的人有所帮助

35
Chad Patrick

在Windows中唯一可以做的就是清除整个日志。我只找到一个声称可以做到这一点的第三方应用程序- Winzapper ,但是我从未使用过它,它说它适用于NT和2000,所以我不知道它是否适用于Server 2003/2008。请注意,使用它们时,可能会损坏事件日志,因此请谨慎行事。

4
Sam Cogan

可能解决您的问题的是在组策略中更改审核策略。不知道具体不想显示什么,我不确定是否有相应设置,但这是一个示例。

在GPMC中,向下钻取“计算机配置-Windows设置-安全设置-本地策略-审核策略”。这里没有很多详细信息,但是也许您可以摆脱填充日志的内容。 (我的DC不是2008,所以这是我从2003 AD的角度来看的,希望这并没有完全不同)

1
Kara Marfia

没有从Windows事件日志中删除单个日志条目的受支持方法。出于多种充分理由,有意设计了这种方式。

解决不良日志条目的最佳方法是处理在应用程序中适当生成它们的事件。另外,为所写的每条消息选择适当的日志级别,即详细,信息,警告,错误和严重错误,这是提供易于过滤的日志的重要组成部分。一些日志记录框架还提供了将重复的相同事件汇总到具有计数的单个日志条目的功能。

不幸的是,我看到很多人似乎缺少对关键计算机安全概念的基本了解的评论。日志中的事件,尤其是安全事件日志,由于某种原因是不可变的。如果可以删除安全事件日志中的事件,则与将某人的密码输入错误的文本框相比,降低计算机的安全性要好得多。优秀的OS设计人员知道,人们会犯错误,并且用户密码可能会显示在安全事件日志中。这是为什么只允许管理员查看安全事件日志的原因之一。

但是,提供从安全日志中删除单个事件的功能,使攻击者能够以比发现整个日志更困难的方式隐藏其活动,而清除整个日志是唯一提供的删除类型的操作。作为一个适当的例子,请参考Open Web Application Security Project(OWASP)网站的 错误处理,审计和日志记录 页面上的Cover Tracks部分,其中指出:

封面曲目

日志记录机制攻击的头号功臣是竞争者,他们可以在粒度级别上删除或操作日志条目,“好像事件从未发生过!”。 Rootkit的入侵和部署使攻击者可以利用专用工具来协助或自动操纵已知日志文件。在大多数情况下,日志文件只能由具有root/administrator特权的用户或通过批准的日志操作应用程序进行操作。通常,日志记录机制应旨在防止粒度级别的操纵,因为攻击者可以在相当长的时间内隐藏其踪迹而不会被发现。简单的问题;如果您正受到攻击者的入侵,如果您的日志文件异常大或小,或者看起来像隔日的日志一样,入侵会更加明显吗?

我还要进一步指出,任何对系统具有管理访问权限的人都应从一开始就进行更高级别的谨慎和注意。其中一部分是对执行的工作进行仔细检查,并停止读取甚至常见的对话框,以防止造成破坏性的错误。

也可以看看:

0
JamieSee