我的网络管理员说他正在解决问题并清除了事件日志。
这是个问题吗?在排除软件故障时清除事件查看器日志有哪些好处?
答案1
它提供了一个干净的记录,让您可以忽略所有先前的“噪音”并专注于新的错误。
答案2
如果清理日志可以在故障排除期间提供更好的概述,那么它也可以被视为一个关键的安全问题。
实际上,清理日志会生成 2 个事件 ID(1102 和 104),这些事件 ID 通常用于具有特定 SIEM 规则或用例的 SOC(安全操作中心)。因此,我不建议清除日志,因为这可能会产生误报事件。相反,我建议使用事件查看器过滤器、日志导出功能或 SIEM 解决方案。