Puis-je désactiver la journalisation des événements Windows pour un certain service?

10

Nous avons une application héritée exécutée sur une machine virtuelle Windows Server 2008 à partir d'Azure qui envoie du spam dans notre journal des événements Windows toutes les minutes environ. Je n'ai pas accès à la source du morceau de code qui écrit dans le journal des événements, uniquement le fichier dll. Je ne peux pas non plus le réécrire car c'est un énorme logiciel, autant que je le voudrais.

Donc ma question est ... Est-il possible pour moi de bloquer la source d'événements pour certains messages ? Évidemment, je ne veux pas empêcher toute la source d'événement de se connecter car elle enregistre des choses utiles quand elle ne va pas, c'est juste ce message particulier qui obstrue le journal de notre serveur et devient assez ennuyeux!

simonlchilds
la source
Je l'ai essayé sur win 10 avec le guid {54849625-5478-4994-A5BA-3E3B0328C30D}. J'ai créé une nouvelle clé [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Security\{9580d7dd-0379-4658-9870-d5be7d52d6de}]. Ensuite, j'ai ajouté le EnabledDWORD avec 0valeur et la LoggerNamechaîne en tant que EventLog-Security, mais il n'est pas bloqué.
user412229

Réponses:

6

Vous ne pouvez pas arrêter la journalisation pour un ID d'événement spécifique avec Windows, mais vous pouvez modifier les paramètres de filtrage de l'observateur d'événements afin que certains éléments ne s'affichent pas si vous le souhaitez, c'est-à-dire pour créer une vue personnalisée.

entrez la description de l'image ici

Volodymyr M.
la source
C'est super, merci! J'ai en fait créé une vue personnalisée uniquement pour le service qui spams à l'exclusion des journaux «Informations», ce qui sera bien pour l'instant. Cependant, le journal des applications sera spammé.
simonlchilds
Oui, ce sera le cas, mais vous ne le verrez pas dans votre vue personnalisée.
Volodymyr M.
2

oui vous pouvez ... je vais utiliser l'avertissement d'ID d'événement WLAN-AutoConfig 4001

tout d'abord, double-cliquez sur l'erreur / avertissement dans l'Observateur d'événements et cliquez sur l'onglet Détails et notez le GUID ({9580D7DD-0379-4658-9870-D5BE7D52D6DE})

ouvrez maintenant regedit et accédez à [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ WMI \ Autologger \ EventLog-System \ {9580d7dd-0379-4658-9870-d5be7d52d6de}]

à droite, où se trouvent les entrées de registre, recherchez «Activé» qui sera défini sur un, changez-le en 0. redémarrez deux fois pour que l'entrée prenne effet. cela a fonctionné pour moi pour trois erreurs / avertissements qui peuvent être ignorés

cela devrait fonctionner pour Windows Vista, 7 et 8 et leurs homologues Windows Server respectifs. je ne connais pas Windows 10, mais vous pouvez essayer

ErickC
la source
n'a pas testé pendant une période prolongée, mais il semble fonctionner sur Windows 10 1809. Cela m'a aidé à arrêter les messages ennuyeux qui venaient chaque seconde de WHEA-Logger à propos d'une erreur matérielle corrigée.
Alex
0

Utilisez Server Manager ou Perfomance MSC.

Sous (Performance) -> Data Collector Sets-> Event Trace Sessions, sélectionnez EventLog-Application et appuyez sur [ENTER].

Sous l' onglet Fournisseurs de trace (par défaut), consultez la liste Propriétés . Vous trouverez ici une propriété Level , qui vous permet de définir (filtrer) le niveau de journalisation comme vous vous y attendez.

Hatebit
la source