我想过滤掉警告,但在事件查看器中保留特定事件的错误和严重事件。
能"EnableLevel"=dword:00000002完成这个吗?
例如
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\WMI\Autologger\EventLog-System\{1c95126e-7eea-49a9-a3fe-a378b03ddb4d}]
"EnableLevel"=dword:00000002
; Default = 0, everything is logged
我尝试从系统日志中过滤的警告事件是随机发生的,有时事件之间会间隔几天,因此很难确定更改值是否真的有效。
文档似乎表明2我只想记录错误和严重级别的事件。
从这里
微软对1-5级的语义定义如下。
| Value | Meaning |
|-----------------------------|--------------------------------------------|
| TRACE_LEVEL_CRITICAL (1) | Abnormal exit or termination events |
| TRACE_LEVEL_ERROR (2) | Severe error events |
| TRACE_LEVEL_WARNING (3) | Warning events such as allocation failures |
| TRACE_LEVEL_INFORMATION (4) | Non-error informational events |
| TRACE_LEVEL_VERBOSE (5) | Detailed diagnostic events |
答案1
我必须发挥创造力来测试这一点,但我确信我已经学到了以下内容:
- EnableLevel 0 = Logs all events
- EnableLevel 1 = Logs Critical
- EnableLevel 2 = Logs Critical, Error
- EnableLevel 3 = Logs Critical, Error, Warning
- EnableLevel 4 = Logs Critical, Error, Warning, Information
- EnableLevel 5 = Logs Critical, Error, Warning, Information, Verbose
注:除了 0-5 还有其他级别。我不确定是什么详细日志,可能用于调试。我见过级别高达 255 的,可能也用于调试。
据我所知,位掩码值不起作用。换句话说,没有OR操作员可以选择记录,例如,Critical OR Information只有。
我找不到任何文档来回答这个问题,所以希望这能对某些人有所帮助。如果有人有第一手的正确规范答案,请发布它,我会将其标记为正确。