Windows Server 2008의 이벤트 로그에서 특정 이벤트를 제거하려면 어떻게해야합니까?

20

이를 위해 타사 도구가 필요합니까?

windows-server-2008 windows-event-log

— JC.
소스

4

나도. 악한 일만 떠 오릅니다.

— Stu Thompson

3

이것에 대한 요청도 있습니다. 예 : RDP에 내 프린터 중 하나에 문제가 있습니다. 그것은 큰 지방 X와 함께 앱 로그에 나타나고 모든 (특히 dcdiag 등의 도메인 컨트롤러에서) 픽업되어 더 많은 문제를 일으 킵니다. 아마도 더 좋은 질문은 특정 유형의 오류 기록을 억제하는 방법입니까?

— Matt Rogish

3

이블. 알림 서비스에 문제를 일으키는 메시지를 실수로 앱에 작성했습니다.

— JC.

2

@Matt Rogish 특정 유형의 오류 기록을 억제하는 방법은 오류를 수정하는 것입니다. 그것이 어떤 문제를 기록하고 있다는 사실은 문제가 해결되어야하고 잘못되어 차를 가스로 채우는 친절한 알림이 아니라는 것을 나타냅니다.

— mrTomahawk

1

내가 쓴 내 서비스입니다. 그것이 가능하다면 그냥 궁금했다.

— JC.

18

Microsoft는 의도적으로이 작업을 수행하지 못하게합니다. 이벤트 뷰어의 전체 개념은주의가 필요한 특정 이벤트를 사용자에게 제공하는 것입니다. 임의의 이벤트가 발생하여 삭제할 수있는 경우, 시스템은 사용자 모르게 손상 될 수 있으므로 안전하지 않을 수 있습니다.

오류 이벤트가 기록 된 경우 문제점의 원인을 찾아서 수정하십시오. 당신은 구멍에 껌을 뭉쳐서 댐에 구멍을 뚫고 싶지 않습니다.

정보 또는주의 이벤트를 너무 자주 로깅하는 경우 이벤트 로그 소스 (Microsoft 또는 타사)가 애플리케이션에 대해 얼마나 자주 또는 어떤 수준의 로깅이 구성되는지를 나타내는 설정이 여러 번 있습니다. 이벤트 로그에서 수술을 수행하는 것이 아니라 로깅을 최소화하는 곳입니다.

— mr 토마 호크
소스

4

관리자 만 로그에 액세스 할 수 있어야하며 악의적 인 사용자가 귀하의 상자에 대한 관리 권한을 획득 한 경우 이미 작업 한 것입니다.

— bambams

2

@mrTomahawk, 이것은 관련이 없습니다. 분명히 누군가가 물어 "나는 윈도우 서버 2008에서 이벤트 로그에서 특정 이벤트를 제거 할 수 있습니까?" 하고 싶다. 그래서 어떻게 할 수 있습니까? 불가능하다면 왜? 어떻게 불가능할 수 있습니까?

— Pacerier

당신은 유효한 포인트가 있습니다. 그러나 이벤트를 삭제하는 대신 이벤트를 어떻게 필터링합니까? 우리가 무언가로부터 많은 소음을 겪고 있는데, 우리는 그 일을하고 있지만, 어떻게 다른 문제가 있는지 알고 싶습니까?

— John Rocha

1

@JohnRocha 빠른 검색에서 필터링에 "not"연산자가없는 것으로 보입니다. 터무니없는 것 같습니다.

— reirab

1

@JohnRocha 이벤트 로그에 대해 사용자 지정 쿼리를 수행하면 XPath 1.0의 제한된 하위 집합을 사용하여 XML 형식으로 쿼리를 씁니다. Select 요소의 XPath 표현식은 검색 대상을 결정합니다. Suppress 요소는 Select를 따르고 원하지 않는 항목을 제거합니다.

— JamieSee

35

OP의 게시물이 유효합니다. 로깅, 오류보고 및 경고와 관련된 가장 큰 문제는 백색 잡음입니다. 너무 많은 "오류"가보고되고 이들 중 대부분이 우선 순위가 낮거나 전혀 염려되지 않으면 관리자는 모든 오류를 무시하는 경향이 있습니다. 좋든 나쁘 든, 이것은 단지 인생의 사실입니다.

그가 말한 오류 중 하나는 (제 생각에는) 이벤트 ID 1111입니다. 이는 단순히 연결된 서버에서 사용할 수없는 드라이버로 프린터를 매핑했음을 의미합니다. 대부분의 경우 걱정할 필요가없는 오류입니다. 문제가 아니기 때문에 "수정"할 것은 없습니다.

실제 문제를 찾고 싶지 않고 특정 이벤트 ID를 사용하지 않아도되는 경우 다음 단계를 사용하여 사용자 정의보기를 작성하십시오.

이벤트 로그의 작업 창에서 "필터 현재 로그"를 클릭하십시오.
대화 상자가 반쯤 내려 오면 텍스트 상자가 나타납니다. <All Event IDs>
이 텍스트를 필터 요구로 바꾸십시오.
- 특정 이벤트 만 원하는 경우 해당 이벤트 ID를 입력하십시오.
- 배수가 여러 개인 경우 쉼표를 사용하여 구분하십시오.
- 제외하려면 빼기 기호를 사용하십시오.
- 이 경우 "-1111"을 사용합니다 (물론 따옴표 제외).
대화 상자에서 "확인"을 클릭하십시오.
작업 창에서 "필터를 사용자 정의보기에 저장"을 클릭하십시오.

이제 이벤트 로그를 보려는 경우 사용자 정의보기를 사용하면 실제로 관심있는 정보 만 표시됩니다.

나는 이것이 죽은 쓰레드에 늦게 게시 된 게시물이라는 것을 알고 있지만, "[의도 된대로 작동, n00b!]";-)

— 채드 패트릭
소스

6

필터링하지 않고 제거하는 것입니다. 정직하게 묻지 않은 질문에 대해 큰 (유용한) 대답을했습니다.

— mfinni

1

@mfinni, 솔직히 그 질문에 대한 답을 제공하지 않았 할 물었다 . 이 페이지 방문자 35k가 묻는 질문입니다.

— Pacerier

4

이것은 Microsoft가 부과하는 제한 사항을 고려할 때 가능한 한 원래 질문 의 의도 와 일치하는 훌륭하고 유용한 답변입니다 .

— Mike Beaton

2

나는 양쪽에 대한 의견이 유효하다고 생각합니다. 필터링에 대한 정보는 단순히 "할 수 없음"으로 답을 남기는 것보다 훨씬 유용합니다. 정답은 정답이며 +1했습니다. @ chad-patrick의 답변도 매우 도움이되며, 이것도 +1했습니다. 그러나 차드의 대답에 결함, 당신은 안이 단지 에 마이너스 기호를 사용하여 이벤트 ID 일부 응용 프로그램은 동일한 번호를 사용할 때. 제공자 및 이벤트 ID에 대해보다 엄격한 필터링이 필요합니다. 이에 대한 자세한 내용은 문맥에 맞지 않기 때문에 시작 링크는 다음과 같습니다. bit.ly/1d9seDp

— TonyG

4

Windows에서 할 수있는 유일한 것은 전체 로그를 지우는 것입니다. Winzapper 라고 주장하는 타사 응용 프로그램을 하나만 찾았 지만 결코 사용하지 않았으며 NT 및 2000에 대한 것이므로 서버 2003/2008에서 작동하는지 알 수 없습니다. 이벤트 로그를 사용할 때 이벤트 로그가 손상 될 수 있으므로주의해서 밟으십시오.

— 샘 코간
소스

1

문제를 해결할 수있는 것은 그룹 정책에서 감사 정책을 변경하는 것입니다. 구체적으로 표시하고 싶지 않은 것을 알지 못하면 설정이 있는지 확실하지 않지만 여기에 예가 있습니다.

GPMC에서 컴퓨터 구성-Windows 설정-보안 설정-로컬 정책-감사 정책을 드릴 다운하십시오. 여기에는 세부적인 톤이 없지만 로그를 채우는 것을 제거 할 수 있습니다. (내 DC는 2008이 아니므로 2003 AD 관점에서 얻은 것이므로 완전히 다르지 않기를 바랍니다)

— 카라 마피아
소스

좋은 지적이지만, 기존 로그를 삭제하지는 않습니다 . 향후 로그에만 영향을줍니다.

— Pacerier

-1

.net 애플리케이션을 작성하여 이벤트 로그 및 이벤트 소스를 삭제할 수 있습니다.

아래 소스 코드 예제 :

class Program
{
    static void Main(string[] args)
    {
        System.Diagnostics.EventLog.DeleteEventSource("YourEventSourceName");
        System.Diagnostics.EventLog.Delete("YourEventName");
    }
}

참조 : http://msdn.microsoft.com/en-us/library/system.diagnostics.eventlog(v=vs.100).aspx

— 치 파황
소스

모든 항목 응용 프로그램 이벤트 로그를 지우려면 어떻게해야합니까? 응용 프로그램 이벤트 로그를 삭제하지 않고 항목 만

— Kiquenet

누군가 이것을 테스트 했습니까? 모든 이벤트에 적용됩니까?

— Pacerier

-1

이 공유 레지스트리 위치에서 항목을 삭제하여 이벤트를 제거 할 수 있습니다.

HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ services \ eventlog

— 애 쉬쉬 굽타
소스

아니요, 특정 일정을 삭제할 수 없습니다. 거기에서 이벤트 로그 및 제공자를 삭제 / 파괴 할 수 있습니다. 같은 것이 아닙니다.

— Rob Moir