sviluppo-web-qa.it

Come posso rimuovere eventi specifici dal registro eventi in Windows Server 2008?

Ho bisogno di uno strumento di terze parti per questo?

21
JC.

Microsoft ti impedisce di farlo intenzionalmente. L'intero concetto del Visualizzatore eventi è di presentarti alcuni eventi che potrebbero richiedere la tua attenzione. Se uno potesse entrare ed eliminare qualsiasi evento casuale, allora il sistema potrebbe - in un certo senso - essere compromesso a tua insaputa, rendendolo quindi non sicuro.

Se hai registrato un evento di errore, scopri qual è la causa del problema e risolvilo. Non vuoi riparare un buco in una diga attaccando un batuffolo di gomma nel buco.

Se qualcosa registra eventi informativi o di avviso troppo spesso, molte volte l'origine del registro eventi (Microsoft o di terze parti) ha alcune impostazioni che indicano la frequenza o il livello di registrazione configurato per l'applicazione. È qui che vai a minimizzare la registrazione, non facendo un intervento chirurgico sul registro degli eventi.

18
mrTomahawk

Il post del PO è valido. Il problema numero uno nella registrazione, nella segnalazione degli errori e negli avvisi è il rumore bianco. Quando vengono segnalati troppi "errori" e la maggior parte di essi ha una priorità bassa o non presenta alcuna preoccupazione, gli amministratori tendono a ignorare TUTTI gli errori. Bene o male, questo è solo un dato di fatto.

Uno degli errori di cui sta parlando è (penso) l'ID evento 1111. Significa semplicemente che hai una stampante mappata con un driver che non è disponibile sul server a cui sei connesso. È un errore che non preoccupa nella maggior parte dei casi ... non c'è nulla da "riparare" in quanto non è un problema.

Se vuoi trovare problemi reali e hai specifici ID evento che non ti interessano, crea una vista personalizzata con i seguenti passaggi:

  1. Nel registro eventi fai clic su "Filtra registro corrente" nel riquadro azioni.
  2. Circa a metà della finestra di dialogo che appare, troverai una casella di testo con <All Event IDs>
  3. Sostituisci questo testo con le tue esigenze di filtro.
    • Se desideri solo un determinato evento, inserisci l'ID dell'evento.
    • Se hai multipli, usa le virgole per separare.
    • Se si desidera escludere, utilizzare un segno meno.
    • In questo caso utilizzeremo "-1111" (senza le virgolette ovviamente).
  4. Fai clic su "OK" nella finestra di dialogo.
  5. Nel riquadro azioni ora fai clic su "Salva filtro nella vista personalizzata".

Ora, quando si desidera esaminare il registro eventi, utilizzare la visualizzazione personalizzata e verranno visualizzate solo le informazioni di cui si è veramente interessati.

So che questo è un post in ritardo su un thread morto, ma spero che aiuti qualcun altro che sta cercando su Google questo più dei post di "[Funzionando come previsto, n00b!]" ;-)

35
Chad Patrick

L'unica cosa che puoi fare in Windows è cancellare l'intero registro. Ho trovato solo un'app di terze parti che afferma di farlo - Winzapper , tuttavia non l'ho mai usata e indica che è per NT e 2000, quindi non so se funzionerà per il server 2003/del 2008. Tenere presente che esiste il rischio di corruzione del registro eventi durante l'utilizzo di questi, quindi procedere con cautela.

4
Sam Cogan

Ciò che potrebbe risolvere il tuo problema è cambiare i criteri di controllo nei criteri di gruppo. Senza sapere che cosa specificamente non vuoi mostrare, non sono sicuro che ci sia un'impostazione per questo, ma ecco un esempio.

In GPMC, eseguire il drill down tramite Configurazione computer - Impostazioni di Windows - Impostazioni di sicurezza - Criteri locali - Criterio di controllo. Non c'è un sacco di granularità qui, ma forse puoi liberarti di ciò che riempie i tuoi registri. (I miei DC non sono del 2008, quindi questo è quello che ho dal punto di vista del 2003 d.C., spero che non sia completamente diverso)

1
Kara Marfia

Non esiste un modo supportato per eliminare singole voci di registro dai registri eventi di Windows. Questo è appositamente progettato in questo modo per una serie di ottime ragioni.

Il modo migliore per affrontare le voci di registro indesiderate è gestire gli eventi che le generano in modo appropriato all'interno dell'applicazione. Inoltre, selezionare il livello di registro appropriato, ad esempio verbose, informazioni, avvertenze, errori ed errori critici, per ogni messaggio che viene scritto è un componente importante nel fornire registri facili da filtrare. Alcuni framework di registrazione forniscono anche la possibilità di raggruppare eventi identici ripetuti in una singola voce di registro con un conteggio.

Sfortunatamente, ho visto alcuni commenti di persone che sembrano non avere una comprensione fondamentale dei concetti chiave di sicurezza informatica. Gli eventi in un registro, , in particolare un registro eventi di sicurezza , sono immutabili per un motivo. Se gli eventi nel registro eventi di sicurezza potessero essere eliminati, la sicurezza del computer diminuirebbe molto di più che non avere la password di qualcuno nel registro perché l'hanno digitata nella casella di testo sbagliata. I bravi progettisti di sistemi operativi sanno che le persone commettono errori e che la password di un utente può apparire nel registro degli eventi di sicurezza. È uno dei motivi per cui i registri degli eventi di sicurezza possono essere visualizzati solo dagli amministratori.

Fornire la possibilità di eliminare singoli eventi dal registro di sicurezza, tuttavia, consente a un utente malintenzionato di nascondere le proprie attività in un modo molto più difficile da individuare rispetto a quando si cancella l'intero registro è l'unica operazione di tipo di eliminazione fornita. Ad esempio, consultare la sezione Cover Tracks della pagina Gestione errori, controllo e registrazione) del sito Open OWASP (= Gestione errori, controllo e registrazione che indica:

Cover Tracks

Il primo premio negli attacchi al meccanismo di registrazione va al contendente che può eliminare o manipolare le voci di registro a livello granulare, "come se l'evento non fosse mai accaduto!". L'intrusione e la distribuzione di rootkit consente a un utente malintenzionato di utilizzare strumenti specializzati che possono aiutare o automatizzare la manipolazione di file di registro noti. Nella maggior parte dei casi, i file di registro possono essere manipolati solo da utenti con privilegi di amministratore/root o tramite applicazioni di manipolazione dei registri approvate. Come regola generale, i meccanismi di registrazione dovrebbero mirare a prevenire la manipolazione a livello granulare poiché un utente malintenzionato può nascondere le proprie tracce per un periodo di tempo considerevole senza essere rilevato. Domanda semplice; se venisse compromesso da un utente malintenzionato, l'intrusione sarebbe più ovvia se il file di registro fosse anormalmente grande o piccolo o se apparisse come il registro di ogni altro giorno?

Direi inoltre che chiunque abbia accesso amministrativo a un sistema dovrebbe iniziare con un livello più elevato di cautela e attenzione ai dettagli. Parte di ciò è il doppio controllo del lavoro mentre viene eseguito e l'interruzione della lettura anche di finestre di dialogo comuni per salvaguardarsi da errori dannosi.

Guarda anche:

0
JamieSee