¿Cómo puedo eliminar eventos específicos del registro de eventos en Windows Server 2008?

20

¿Necesito una herramienta de terceros para esto?

windows-server-2008 windows-event-log

— JC
fuente

44

Yo también. Solo me vienen a la mente cosas malas.

— Stu Thompson

3

También tengo una solicitud para esto. Por ejemplo: RDP tiene algunos problemas con una de mis impresoras. Aparece en el registro de la aplicación con una X grande y gruesa que luego se recoge TODO (especialmente en los controladores de dominio, por ejemplo, dcdiag, etc.) y causa MUCHO más problemas. Quizás la mejor pregunta es: ¿cómo suprimir el registro de ciertos tipos de errores?

— Matt Rogish

3

Mal, ja. Tuve una aplicación que accidentalmente escribía mensajes que causaban problemas con un servicio de notificación.

— JC.

2

@Matt Rogish la forma de suprimir el registro de un cierto tipo de error es corregir el error. El hecho de que esté registrando algún problema indica que algo está mal y que debe solucionarse, y no es un recordatorio amigable para llenar su automóvil con gasolina.

— mrTomahawk

1

Es mi propio servicio lo que escribí. Tenía curiosidad por saber si podía hacerse.

— JC.

18

Microsoft deliberadamente le impide hacer esto. El concepto completo del Visor de eventos es presentarle ciertos eventos que pueden requerir su atención. Si uno pudiera ingresar y eliminar cualquier evento aleatorio, entonces el sistema podría, en cierto sentido, verse comprometido sin que usted lo supiera, por lo que sería inseguro.

Si tiene un evento de error registrado, averigüe qué está causando el problema y corríjalo. No quieres parchar un agujero en una presa pegando un chicle en el agujero.

Si algo registra eventos informativos o de precaución con demasiada frecuencia, muchas veces el origen del registro de eventos (ya sea Microsoft o un tercero) tiene alguna configuración que indica con qué frecuencia o en qué nivel de registro está configurado para la aplicación. Ahí es donde debe ir para minimizar el registro, no haciendo cirugía en el registro de eventos.

— mrTomahawk
fuente

44

Solo un administrador debe poder acceder a los registros, y si un usuario malintencionado ha adquirido privilegios administrativos para su casilla, entonces ya está f'd.

— Bambams

2

@mrTomahawk, esto es irrelevante. Aparentemente, alguien pregunta "¿Cómo puedo eliminar eventos específicos del registro de eventos en Windows Server 2008?" quiere hacerlo Entonces, ¿cómo podemos hacerlo? Si no es posible, ¿por qué? ¿Cómo podría ser posible que no sea posible?

— Pacerier

Tienes un punto válido. Pero, ¿cómo se filtran los eventos, en lugar de eliminarlos? Si recibimos mucho ruido de algo y estamos trabajando en ello, pero también queremos ver qué más está teniendo problemas, ¿cómo lo hacemos?

— John Rocha

1

@ JohnRocha De una búsqueda rápida, parece que no hay un operador "no" en su filtrado. Lo que parece absurdo.

— reirab

1

@JohnRocha Hacer consultas personalizadas contra el registro de eventos utiliza un subconjunto limitado de XPath 1.0 para escribir consultas en un formato XML. Las expresiones XPath en el elemento Seleccionar determinan lo que recuperas. El elemento Suprimir sigue a Seleccionar y elimina elementos que no desea.

— JamieVer

35

La publicación del OP es válida. El problema número uno con el registro, el informe de errores y las alertas es el ruido blanco. Cuando se informan demasiados "errores" y la mayoría de ellos son de baja prioridad o no preocupan en absoluto, los administradores tienden a ignorar TODOS los errores. Bueno o malo, esto es solo un hecho de la vida.

Uno de los errores de los que está hablando es (creo) el ID de evento 1111. Simplemente significa que tiene una impresora asignada con un controlador que no está disponible en el servidor al que está conectado. Es un error sin importancia en la mayoría de los casos ... no hay nada que "arreglar" ya que no es un problema.

Si desea encontrar problemas reales y tiene identificadores de eventos específicos que no desea eliminar, cree una vista personalizada con los siguientes pasos:

En su registro de eventos, haga clic en "Filtrar registro actual" en el panel de acciones.
Alrededor de la mitad del cuadro de diálogo que aparece, encontrará un cuadro de texto con <All Event IDs>
Reemplace este texto con sus necesidades de filtro.
- Si solo desea un determinado evento, coloque esa ID de evento allí.
- Si tienes múltiplos, usa comas para separar.
- Si desea excluir, use un signo menos.
- En este caso, usaríamos "-1111" (sin las comillas, por supuesto).
Haga clic en "Aceptar" en el cuadro de diálogo.
En el panel de acciones, ahora hace clic en "Guardar filtro en vista personalizada".

Ahora, cuando desee ver su registro de eventos, use su vista personalizada y solo se mostrará la información que realmente le preocupa.

Sé que esta es una publicación tardía en un hilo muerto, pero espero que ayude a alguien más que está buscando en Google esto más que las publicaciones de "[¡Trabajando según lo previsto, n00b!]" ;-)

— Chad Patrick
fuente

66

Eso es filtrar, no eliminar. Diste una respuesta excelente (y útil) a una pregunta que no se hizo, para ser honesto.

— mfinni

1

@mfinni, y para ser sincero, no había dado ninguna respuesta a la pregunta que se le hizo . La pregunta que hacen 35k visitantes a esta página.

— Pacerier

44

Esta es una respuesta excelente y útil que coincide con la intención de la pregunta original lo mejor posible, dadas las limitaciones que impone Microsoft.

— Mike Beaton

2

Creo que los comentarios de ambos lados son válidos. La información sobre el filtrado es mucho más útil que simplemente dejar una respuesta en "no se puede". La respuesta aceptada es la respuesta correcta y la hice +1. La respuesta de @ chad-patrick también es muy útil, y también hice +1 en esta. Pero hay una falla en la respuesta de Chad, no solo debes usar un signo menos en los ID de eventos , ya que algunas aplicaciones usan los mismos números. Se requiere un filtrado más riguroso en el proveedor y la identificación del evento. Dado que los detalles sobre esto están fuera de contexto, aquí hay un enlace de inicio: bit.ly/1d9seDp

— TonyG

4

Lo único que puede hacer en Windows es borrar todo el registro. Solo encontré una aplicación de terceros que dice hacer esto: Winzapper , sin embargo, nunca la he usado y dice que es para NT y 2000, por lo que no sé si funcionará para el servidor 2003/2008. Tenga en cuenta que existe la posibilidad de que se dañe el registro de eventos al usarlos, por lo tanto, tenga cuidado.

— Sam Cogan
fuente

1

Lo que podría resolver su problema es cambiar las políticas de auditoría en la política de grupo. Sin saber qué es lo que específicamente no quieres que aparezca, no estoy seguro de si hay una configuración, pero aquí hay un ejemplo.

En GPMC, profundice en Configuración del equipo - Configuración de Windows - Configuración de seguridad - Políticas locales - Política de auditoría. No hay una TONELADA de granularidad aquí, pero tal vez puedas deshacerte de lo que está llenando tus registros. (Mis DC no son 2008, así que esto es lo que tengo desde una perspectiva de 2003 AD, espero que no sea completamente diferente)

— Kara Marfia
fuente

Buen punto, pero no elimino los registros existentes . Solo afecta a los registros futuros.

— Pacerier

-1

Puede escribir una aplicación .net para eliminar el registro de eventos y el origen del evento.

Ejemplo de código fuente como se muestra a continuación:

class Program
{
    static void Main(string[] args)
    {
        System.Diagnostics.EventLog.DeleteEventSource("YourEventSourceName");
        System.Diagnostics.EventLog.Delete("YourEventName");
    }
}

Referencia: http://msdn.microsoft.com/en-us/library/system.diagnostics.eventlog(v=vs.100).aspx

— qifahuang
fuente

¿Cómo puedo borrar TODAS las entradas del registro de eventos de la aplicación ?, no borrar el registro de eventos de la aplicación, solo las entradas

— Kiquenet

¿Alguien había probado esto? ¿Esto funciona para todos los eventos?

— Pacerier

-1

Puede eliminar la entrada de esta ubicación del registro compartido para eliminar el evento:

HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ services \ eventlog

— Aashish Gupta
fuente

No, no puede eliminar un evento específico desde allí. Puede eliminar / arruinar registros de eventos y proveedores desde allí. No es lo mismo

— Rob Moir