Comment supprimer des événements spécifiques du journal des événements dans Windows Server 2008?

21

Ai-je besoin d'un outil tiers pour cela?

JC.
la source
4
Moi aussi. Seules les mauvaises choses me viennent à l'esprit.
Stu Thompson,
3
J'ai aussi une demande à ce sujet. Par exemple: RDP a des problèmes avec l'une de mes imprimantes. Il apparaît dans le journal de l'application avec un gros X gras qui est ensuite repris partout (en particulier sur les contrôleurs de domaine, par exemple dcdiag, etc.) et provoque BEAUCOUP plus de problèmes. Peut-être que la meilleure question est: comment supprimer la journalisation de certains types d'erreurs?
Matt Rogish
3
Mal, ha. Une application a accidentellement écrit des messages qui causaient des problèmes avec un service de notification.
JC.
2
@Matt Rogish la façon de supprimer la journalisation d'un certain type d'erreur est de corriger l'erreur. Le fait qu'il enregistre un problème indique que quelque chose ne va pas qui devrait être réparé, et non un rappel amical pour faire le plein de votre voiture avec de l'essence.
mrTomahawk
1
C'est mon propre service que j'ai écrit. J'étais simplement curieux de savoir si cela pouvait être fait.
JC.

Réponses:

18

Microsoft vous empêche expressément de le faire. Le concept de l'Observateur d'événements est de vous présenter certains événements qui peuvent nécessiter votre attention. Si l'on pouvait entrer et supprimer un événement aléatoire, alors le système pourrait - dans un sens - être compromis à votre insu, ce qui le rendrait dangereux.

Si vous avez enregistré un événement d'erreur, recherchez la cause du problème et corrigez-le. Vous ne voulez pas colmater un trou dans un barrage en collant une liasse de gomme dans le trou.

Si quelque chose enregistre les événements d'information ou d'avertissement trop souvent, la source du journal des événements (Microsoft ou un tiers) a souvent un paramètre qui indique la fréquence ou le niveau de journalisation configuré pour l'application. C'est là que vous allez pour minimiser la journalisation, pas en faisant de la chirurgie sur le journal des événements.

mrTomahawk
la source
4
Seul un administrateur devrait pouvoir accéder aux journaux, et si un utilisateur malveillant a acquis des privilèges administratifs sur votre box, vous êtes déjà f'd.
bambams
2
@mrTomahawk, ce n'est pas pertinent. Apparemment, quelqu'un demande "Comment puis-je supprimer des événements spécifiques du journal des événements dans Windows Server 2008?" veut le faire. Alors, comment pouvons-nous le faire? Si ce n'est pas possible, pourquoi? Comment pourrait-il être possible que ce ne soit pas possible?
Pacerier
Vous avez un point valide. Mais comment filtrer les événements plutôt que de supprimer les événements? Si nous recevons beaucoup de bruit de quelque chose et que nous y travaillons, mais nous voulons également voir ce qui pose d'autres problèmes, comment faire?
John Rocha
1
@JohnRocha A partir d'une recherche rapide, il apparaît qu'il n'y a pas d'opérateur "non" dans leur filtrage. Ce qui semble absurde.
reirab
1
@JohnRocha La réalisation de requêtes personnalisées sur le journal des événements utilise un sous-ensemble limité de XPath 1.0 pour écrire des requêtes au format XML. Les expressions XPath dans l'élément Select déterminent ce que vous récupérez. L'élément Supprimer suit la sélection et supprime les éléments dont vous ne voulez pas.
JamieSee
35

Le poste de l'OP est valide. Le problème numéro un de la journalisation, du rapport d'erreurs et des alertes est le bruit blanc. Lorsque trop d'erreurs sont signalées et que la plupart d'entre elles sont de faible priorité ou ne présentent aucun problème, les administrateurs ont tendance à ignorer TOUTES les erreurs. Bon ou mauvais, c'est juste une réalité de la vie.

L'une des erreurs dont il parle est (je pense) l'événement ID 1111. Cela signifie simplement que vous avez une imprimante mappée avec un pilote qui n'est pas disponible sur le serveur auquel vous êtes connecté. C'est une erreur sans souci dans la plupart des cas ... il n'y a rien à "corriger" car ce n'est pas un problème.

Si vous souhaitez rechercher des problèmes réels et que vous avez des ID d'événement spécifiques que vous ne souhaitez pas analyser, créez une vue personnalisée avec les étapes suivantes:

  1. Dans votre journal des événements, cliquez sur "Filtrer le journal actuel" dans le volet Actions.
  2. À mi-chemin de la boîte de dialogue qui apparaît, vous trouverez une zone de texte avec <All Event IDs>
  3. Remplacez ce texte par vos besoins de filtrage.
    • Si vous voulez seulement un certain événement, mettez cet ID d'événement dedans.
    • Si vous en avez plusieurs, séparez-les par des virgules.
    • Si vous souhaitez exclure, utilisez un signe moins.
    • Dans ce cas, nous utiliserions "-1111" (sans les guillemets bien sûr).
  4. Cliquez sur "OK" dans la boîte de dialogue.
  5. Dans le volet Actions, vous cliquez maintenant sur "Enregistrer le filtre dans une vue personnalisée".

Maintenant, lorsque vous souhaitez consulter votre journal des événements, utilisez votre vue personnalisée et seules les informations qui vous intéressent vraiment seront affichées.

Je sais que c'est un post tardif sur un fil mort mais j'espère que cela aide quelqu'un d'autre qui google plus que les posts de "[Working as expected, n00b!]" ;-)

Chad Patrick
la source
6
C'est filtrer, pas supprimer. Pour être honnête, vous avez donné une excellente (et utile) réponse à une question qui n'a pas été posée.
mfinni
1
@mfinni, et pour être honnête, il n'avait pas répondu à la question posée . La question que 35 000 visiteurs de cette page se posent.
Pacerier
4
Il s'agit d'une excellente et utile réponse qui correspond au mieux à l' intention de la question d'origine, compte tenu des limites imposées par Microsoft.
Mike Beaton
2
Je pense que les commentaires des deux côtés sont valables. Les informations sur le filtrage sont beaucoup plus utiles que de simplement laisser une réponse à "vous ne pouvez pas". La réponse acceptée est la bonne réponse et je l'ai attribuée à +1. La réponse de @ chad-patrick est également très utile, et j'ai également attribué +1 à celle-ci. Mais il y a une faille dans la réponse du Tchad, vous ne devriez pas simplement utiliser un signe moins sur les ID d'événement , car certaines applications utilisent les mêmes numéros. Un filtrage plus rigoureux est requis sur le fournisseur et l'ID d'événement. Depuis ce détail est hors contexte, voici un lien de départ: bit.ly/1d9seDp
TonyG
4

La seule chose que vous pouvez faire dans Windows est d'effacer tout le journal. Je n'ai trouvé qu'une application tierce qui prétend faire cela - Winzapper , mais je ne l'ai jamais utilisée et elle indique que c'est pour NT et 2000, donc je ne sais pas si cela fonctionnera pour le serveur 2003/2008. Soyez conscient qu'il existe un risque de corruption du journal des événements lors de leur utilisation, alors soyez prudent.

Sam Cogan
la source
1

Ce qui pourrait résoudre votre problème est de modifier les stratégies d'audit dans la stratégie de groupe. Sans savoir précisément ce que vous ne souhaitez pas afficher, je ne sais pas s'il y a un paramètre pour cela, mais voici un exemple.

Dans GPMC, explorez Configuration ordinateur - Paramètres Windows - Paramètres de sécurité - Stratégies locales - Stratégie d'audit. Il n'y a pas une tonne de granularité ici, mais vous pouvez peut-être vous débarrasser de ce qui remplit vos journaux. (Mes contrôleurs de domaine ne sont pas 2008, c'est donc ce que j'ai du point de vue de 2003 AD, j'espère que ce n'est pas complètement différent)

Kara Marfia
la source
Bon point, mais je ne supprime pas les journaux existants . Cela n'affecte que les futurs journaux.
Pacerier
0

Il n'existe aucun moyen pris en charge pour supprimer des entrées de journal individuelles des journaux des événements Windows. Ceci est délibérément conçu de cette façon pour un certain nombre de très bonnes raisons.

La meilleure façon de traiter les entrées de journal indésirables est de gérer les événements qui les génèrent correctement dans l'application. En outre, la sélection du niveau de journal approprié, c'est-à-dire verbeux, informations, avertissement, erreur et erreur critique, pour chaque message en cours d'écriture est un élément important pour fournir des journaux faciles à filtrer. Certaines infrastructures de journalisation offrent également la possibilité de cumuler des événements identiques répétés en une seule entrée de journal avec un décompte.

Malheureusement, j'ai vu pas mal de commentaires de personnes qui semblent manquer une compréhension fondamentale des concepts clés de la sécurité informatique. Les événements d'un journal, en particulier un journal des événements de sécurité , sont immuables pour une raison. Si les événements du journal des événements de sécurité pouvaient être supprimés, vous réduiriez la sécurité de l'ordinateur beaucoup plus que d'avoir le mot de passe d'une personne dans le journal, car ils l'ont tapé dans la mauvaise zone de texte. Les bons concepteurs de systèmes d'exploitation savent que les gens font des erreurs et que le mot de passe d'un utilisateur peut apparaître dans le journal des événements de sécurité. C'est l'une des raisons pour lesquelles les journaux des événements de sécurité ne peuvent être consultés que par les administrateurs.

Cependant, la possibilité de supprimer des événements individuels du journal de sécurité permet à un attaquant de dissimuler ses activités d'une manière beaucoup plus difficile à repérer que lors de la suppression de l'intégralité du journal. À titre d'exemple, reportez-vous à la section Cover Tracks sur la page de gestion des erreurs, d'audit et de journalisation du site Open Web Application Security Project (OWASP) qui indique:

Cover Tracks

Le premier prix dans les attaques de mécanisme de journalisation revient au candidat qui peut supprimer ou manipuler des entrées de journal à un niveau granulaire, "comme si l'événement ne s'était même jamais produit!". L'intrusion et le déploiement de rootkits permettent à un attaquant d'utiliser des outils spécialisés qui peuvent aider ou automatiser la manipulation de fichiers journaux connus. Dans la plupart des cas, les fichiers journaux ne peuvent être manipulés que par des utilisateurs disposant de privilèges root / administrateur, ou via des applications de manipulation de journaux approuvées. En règle générale, les mécanismes de journalisation devraient viser à empêcher toute manipulation à un niveau granulaire, car un attaquant peut masquer ses traces pendant une durée considérable sans être détecté. Question simple; si vous étiez compromis par un attaquant, l'intrusion serait-elle plus évidente si votre fichier journal était anormalement grand ou petit,

Je dirais en outre que quiconque a un accès administratif à un système devrait commencer par faire preuve de plus de prudence et d'attention aux détails. Une partie de cela consiste à revérifier le travail pendant qu'il est effectué et à arrêter de lire même les boîtes de dialogue courantes pour se protéger contre les erreurs dommageables.

Voir également:

JamieSee
la source
-1

Vous pouvez écrire une application .net pour supprimer le journal des événements et la source des événements.

Exemple de code source comme ci-dessous:

class Program
{
    static void Main(string[] args)
    {
        System.Diagnostics.EventLog.DeleteEventSource("YourEventSourceName");
        System.Diagnostics.EventLog.Delete("YourEventName");
    }
}

Référence: http://msdn.microsoft.com/en-us/library/system.diagnostics.eventlog(v=vs.100).aspx

qifahuang
la source
Comment puis-je effacer TOUTES les entrées Journal des événements d'application?, Ne pas supprimer le journal des événements d'application, seules les entrées
Kiquenet
Quelqu'un avait-il testé cela? Est-ce que cela fonctionne pour tous les événements?
Pacerier
-1

Vous pouvez supprimer l'entrée de cet emplacement de registre de partage pour supprimer l'événement:

HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ services \ eventlog

Aashish Gupta
la source
Non, vous ne pouvez pas supprimer un événement spécifique à partir de là. Vous pouvez supprimer / ruiner les journaux d'événements et les fournisseurs à partir de là. Pas la même chose.
Rob Moir