我们有一个自动部署工具,每天晚上 9 点自动在生产服务器上安装最新版本的软件。这个工具长期以来一直运行良好。
最近,我开始注意到,每次安装软件时,应用程序事件日志都会在安装完成时清空。我不敢相信我们的应用程序会这样做,因为我们没有任何清除事件日志的代码。我们确实将条目记录到应用程序事件日志中,但这种情况多年来一直没有改变。
我检查了系统事件日志,发现一个事件表明应用程序事件日志已被清除:“应用程序日志文件已被清除。”当我检查事件的详细信息时,我根据进程 ID 确定 svchost.exe 是清除它的服务。清除它的用户是NT 权限\系统。
我检查了清除事件日志的进程ID下正在运行的服务,有三个服务:
- DHCP 客户端
- Windows 事件日志
- TCP/IP NetBIOS 帮助程序
应用程序事件日志设置如下图所示。清除日志后,其中只有大约 20 个条目,远低于大小限制,因此我不明白为什么它会因填满而清除。
答案1
我怀疑您可能有一个清除事件日志的计划任务。检查任务计划程序,看看是否有任何设置要在那时运行。