我是否需要第三方工具来实现这一点?
答案1
Microsoft 故意阻止您这样做。事件查看器的整体概念是向您展示可能需要您注意的某些事件。如果有人可以进入并删除任何随机事件,那么系统可能会在您不知情的情况下受到损害,因此变得不安全。
如果记录了错误事件,请找出问题的原因并进行修复。您不会想用一团口香糖来修补水坝上的洞。
如果某个程序过于频繁地记录信息或警告事件,那么很多时候事件日志源(Microsoft 或第三方)会有一些设置来指示应用程序配置的日志记录频率或级别。这就是您要尽量减少日志记录的地方,而不是对事件日志进行大动干戈。
答案2
OP 的帖子是有效的。日志记录、错误报告和警报的头号问题是白噪声。当报告了太多“错误”并且其中大多数都是低优先级或根本不值得关注时,管理员往往会忽略所有错误。无论好坏,这只是生活中的事实。
他提到的错误之一是(我认为)事件 ID 1111。这仅仅意味着您有一台打印机映射了您所连接的服务器上没有的驱动程序。在大多数情况下,这是一个无须担心的错误... 没有什么可“修复”的,因为它不是问题。
如果您想要查找实际问题,并且您有不想筛选的特定事件 ID,请按照以下步骤创建自定义视图:
- 在您的事件日志中单击操作窗格中的“过滤当前日志”。
- 在弹出的对话框的中间位置,你会看到一个文本框,其中
<All Event IDs> - 用您的过滤需求替换此文本。
- 如果您只想要某个特定事件,请将该事件 ID 放入其中。
- 如果有多个,请用逗号分隔。
- 如果您希望排除,请使用减号。
- 在这种情况下,我们将使用“-1111”(当然不带引号)。
- 在对话框中单击“确定”。
- 在操作窗格中,您现在单击“将过滤器保存到自定义视图”。
现在,当您想要查看事件日志时,请使用自定义视图,这样只会显示您真正关心的信息。
我知道这是对一个死帖的迟到帖子,但希望它能帮助那些在 Google 上搜索此帖而不是“[按预期工作,新手!]”帖子的人;-)
答案3
在 Windows 中你唯一能做的就是清除整个日志。我只发现一个第三方应用程序声称可以做到这一点 -温扎普,但我从未使用过它,而且它声称它适用于 NT 和 2000,所以我不知道它是否适用于服务器 2003/2008。请注意,使用这些时可能会损坏事件日志,因此请谨慎行事。
答案4
不支持从 Windows 事件日志中删除单个日志条目。出于很多很好的理由,这是故意这样设计的。
处理不需要的日志条目的最佳方法是在应用程序中适当地处理生成这些条目的事件。此外,为每条正在写入的消息选择适当的日志级别(即详细、信息、警告、错误和严重错误)是提供易于过滤的日志的重要组成部分。一些日志记录框架还提供将重复的相同事件汇总到具有计数的单个日志条目的功能。
不幸的是,我看到很多人的评论似乎缺乏对关键计算机安全概念的根本理解。日志中的事件,特别是安全事件日志,是不可变的,这是有原因的。如果安全事件日志中的事件可以被删除,那么计算机的安全性就会大大降低,这比因为某人在错误的文本框中输入了密码而将其记录在日志中要严重得多。优秀的操作系统设计师知道人们会犯错误,用户的密码可能会出现在安全事件日志中。这就是为什么只允许管理员查看安全事件日志的原因之一。
但是,提供从安全日志中删除单个事件的功能允许攻击者以一种比清除整个日志更难发现的方式隐藏他们的活动,这是提供的唯一删除类型操作。例如,请参阅开放 Web 应用程序安全项目 (OWASP) 站点的 Cover Tracks 部分错误处理、审计和日志记录页面上显示:
封面曲目
日志机制攻击的最高奖项属于那些能够从细微层面删除或操纵日志条目的竞争者,“就好像事件从未发生过一样!”。入侵和部署 rootkit 允许攻击者利用专门的工具来协助或自动操纵已知的日志文件。在大多数情况下,日志文件只能由具有 root/管理员权限的用户或通过经批准的日志操纵应用程序来操纵。一般来说,日志机制应旨在防止从细微层面操纵,因为攻击者可以隐藏其踪迹很长时间而不被发现。一个简单的问题:如果您受到攻击者的攻击,如果您的日志文件异常大或小,或者它看起来像每隔一天的日志,入侵会更明显吗?
我还要进一步指出,任何拥有系统管理权限的人都应该更加谨慎,并从一开始就注意细节。其中一部分就是在工作进行时仔细检查,甚至停下来阅读常见的对话框,以防止出现破坏性错误。
也可以看看: