我使用的是 SQL Server 2008 标准版。我使用基于策略的管理,策略是在安装过程中随 SQL Server 一起提供的。
我希望策略仅查看过去 24 小时内发生的事件。例如,对于“Windows 事件日志系统故障错误”策略,如果系统 5 天前意外重启,我不希望每天都收到警报。
有什么方法可以限制政策只查看过去 24 小时内发生的事件?
请问有什么帮助吗?
提前致谢。
答案1
曼乔特,
您需要更改该策略所依赖的条件。在本例中,条件的名称为“系统故障错误检查”,并且该条件使用以下 WQL 来获取信息:
IsNull(ExecuteWql('Numeric', 'root\CIMV2', '从 Win32_NTLogEvent 中选择 EventCode,其中 EventCode=6008 和 Logfile="System"'), 0)
如果您更改此 WQL,您应该能够进一步过滤过去 24 小时内的事件。