मैं Windows Server 2008 में ईवेंट लॉग से विशिष्ट ईवेंट कैसे निकाल सकता हूं?


21

क्या मुझे इसके लिए किसी तीसरे पक्ष के उपकरण की आवश्यकता है?


4
मैं भी। केवल बुरी बातें ही दिमाग में आती हैं।
स्टु थॉम्पसन

3
इसके लिए मेरा भी अनुरोध है। उदाहरण के लिए: RDP को मेरे एक प्रिंटर के साथ कुछ समस्याएँ हैं। यह ऐप में एक बड़े वसा वाले एक्स के साथ दिखाई देता है जिसे तब सभी ओवर (विशेष रूप से डोमेन नियंत्रकों, जैसे dcdiag आदि) पर उठाया जाता है और WAY अधिक समस्याओं का कारण बनता है। शायद बेहतर सवाल यह है: कुछ प्रकार की त्रुटियों के लॉगिंग को कैसे दबाएं?
मैट रोजिश

3
बुराई, हा। मेरे पास एक ऐप गलती से संदेश लिख गया था जो एक अधिसूचना सेवा के साथ समस्याएं पैदा कर रहा था।
जे.सी.

2
@ मैट निश्चित त्रुटि के लॉगिंग को दबाने का तरीका है त्रुटि को ठीक करना। यह तथ्य कि यह किसी समस्या को लॉग कर रहा है, यह संकेत दे रहा है कि कुछ गलत है जिसे ठीक किया जाना चाहिए, और अपनी कार को गैस से भरने के लिए एक अनुकूल अनुस्मारक नहीं है।
mrTomahawk

1
यह मेरी अपनी सेवा है जो मैंने लिखी है। मैं बस उत्सुक था अगर यह किया जा सकता है।
जे.सी.

जवाबों:


18

Microsoft जानबूझकर आपको ऐसा करने से रोकता है। इवेंट व्यूअर की पूरी अवधारणा आपको कुछ घटनाओं को प्रस्तुत करने के लिए है, जिन पर आपको ध्यान देने की आवश्यकता हो सकती है। यदि कोई अंदर जाकर किसी भी यादृच्छिक घटना को हटा सकता है, तो सिस्टम समझदारी से आपके साथ समझौता कर सकता है, इसलिए इसे असुरक्षित बना सकता है।

यदि आपके पास कोई त्रुटि ईवेंट लॉग है, तो पता करें कि समस्या क्या है और इसे ठीक करें। आप छेद में गोंद की एक छड़ी चिपकाकर एक बांध में छेद नहीं करना चाहते हैं।

यदि कोई चीज अक्सर सूचनात्मक या सावधानीपूर्वक घटनाओं को लॉग कर रही है, तो कई बार इवेंट लॉग स्रोत (या तो Microsoft या एक तृतीय-पक्ष) में कुछ सेटिंग होती है जो इंगित करती है कि आवेदन के लिए कितनी बार या किस स्तर पर लॉगिंग कॉन्फ़िगर की गई है। यह वह जगह है जहाँ आप लॉगिंग को कम करने के लिए जाते हैं, इवेंट लॉग पर सर्जरी करके नहीं।


4
केवल एक व्यवस्थापक को लॉग का उपयोग करने में सक्षम होना चाहिए, और यदि किसी दुर्भावनापूर्ण उपयोगकर्ता ने आपके बॉक्स में प्रशासनिक विशेषाधिकार प्राप्त कर लिए हैं तो आप पहले से ही फ़िदा हैं।
बंबाम

2
@mrTomahawk, यह अप्रासंगिक है। जाहिरा तौर पर कोई व्यक्ति पूछ रहा है "मैं विंडोज सर्वर 2008 में इवेंट लॉग से विशिष्ट घटनाओं को कैसे हटा सकता हूं?" करना चाहता है। तो हम इसे कैसे कर सकते हैं? यदि यह संभव नहीं है, तो क्यों? यह कैसे संभव हो सकता है कि यह संभव नहीं है?
पैशियर

आपके पास एक वैध बिंदु है। लेकिन घटनाओं को हटाने के बजाए कोई घटनाओं को कैसे फ़िल्टर करता है? यदि हमें किसी चीज़ से बहुत अधिक शोर होता है, और हम उस पर काम कर रहे हैं, लेकिन हम यह भी देखना चाहते हैं कि और क्या समस्याएँ हैं?
जॉन रोचा

1
@JohnRocha एक त्वरित खोज से, यह प्रतीत होता है कि उनके फ़िल्टरिंग में कोई "नहीं" ऑपरेटर नहीं है। जो बेतुका लगता है।
रीहैब

1
@JohnRocha इवेंट लॉग के विरुद्ध कस्टम क्वेरी करना XML प्रारूप में प्रश्नों को लिखने के लिए XPath 1.0 के सीमित उपसमूह का उपयोग करता है। चयन तत्व में XPath अभिव्यक्तियाँ निर्धारित करती हैं कि आप क्या प्राप्त करते हैं। सप्रेस तत्व सेलेक्ट को फॉलो करता है और उन आइटम्स को हटा देता है जो आप नहीं चाहते हैं।
जॅमीसे

35

ओपी का पद मान्य है। लॉगिंग, त्रुटि रिपोर्टिंग और चेतावनी के साथ नंबर एक समस्या सफेद शोर है। जब बहुत अधिक "त्रुटियों" की सूचना दी जाती है और उनमें से अधिकांश कम प्राथमिकता या बिना किसी चिंता के होती हैं, तो व्यवस्थापक सभी त्रुटियों को अनदेखा कर देते हैं। अच्छा या बुरा, यह जीवन का एक तथ्य है।

जिन त्रुटियों के बारे में वह बात कर रहे हैं उनमें से एक है (मुझे लगता है) इवेंट आईडी 1111। इसका सीधा सा मतलब है कि आपके पास एक ड्राइवर के साथ मैप किया गया है जो उस सर्वर पर उपलब्ध नहीं है जिससे आप जुड़े हैं। यह ज्यादातर मामलों में बिना किसी चिंता के एक त्रुटि है ... कोई समस्या "ठीक" नहीं है क्योंकि यह कोई समस्या नहीं है।

यदि आप वास्तविक समस्याओं का पता लगाना चाहते हैं और आपके पास विशिष्ट ई-मेल आईडी है, जिसके माध्यम से आप खरपतवार की परवाह नहीं करते हैं, तो निम्न चरणों के साथ एक कस्टम दृश्य बनाएं:

  1. अपने ईवेंट लॉग में क्रिया फलक में "फ़िल्टर करेंट लॉग" पर क्लिक करें।
  2. पॉप अप डायलॉग बॉक्स के लगभग आधे रास्ते में आपको एक टेक्स्ट बॉक्स मिलेगा <All Event IDs>
  3. इस पाठ को अपने फ़िल्टर की जरूरत के साथ बदलें।
    • यदि आप केवल एक निश्चित ईवेंट चाहते हैं, तो उस ईवेंट आईडी को वहां रखें।
    • यदि आपके पास गुणक है, तो अलग करने के लिए अल्पविराम का उपयोग करें।
    • यदि आप बाहर करना चाहते हैं, तो ऋण चिह्न का उपयोग करें।
    • इस मामले में हम "-1111" (पाठ्यक्रम के उद्धरण के बिना) का उपयोग करेंगे।
  4. संवाद बॉक्स पर "ओके" पर क्लिक करें।
  5. एक्शन पेन में अब आप "सेव फिल्टर टू कस्टम व्यू" पर क्लिक करें।

अब जब आप अपने ईवेंट लॉग को देखना चाहते हैं, तो अपने कस्टम दृश्य का उपयोग करें और केवल वही जानकारी जिसे आप वास्तव में संबंधित हैं, प्रदर्शित किया जाएगा।

मुझे पता है कि यह एक मृत धागे के लिए एक देर से पोस्ट है, लेकिन उम्मीद है कि यह किसी और को मदद करता है जो इसे "[इच्छित रूप से कार्य करना, n00b!]" ;-) के पदों से अधिक है।


6
वह छान रहा है, हटा नहीं रहा है। आपने एक प्रश्न का बढ़िया (और उपयोगी) उत्तर दिया, जो ईमानदार नहीं था।
mfinni

1
@mfinni, और ईमानदार होने के लिए उन्होंने पूछे गए सवाल का कोई जवाब नहीं दिया । इस पृष्ठ के 35k आगंतुक सवाल पूछ रहे हैं।
23

4
यह एक महान और उपयोगी उत्तर है जो मूल प्रश्न के इरादे के साथ-साथ संभव है जो Microsoft द्वारा दी गई सीमाओं को देखते हुए मेल खाता है ।
माइक बीटन

2
मुझे लगता है कि दोनों पक्षों की टिप्पणियां मान्य हैं। फ़िल्टरिंग पर जानकारी केवल "आप नहीं कर सकते" पर एक उत्तर छोड़ने की तुलना में बहुत अधिक उपयोगी है। स्वीकृत उत्तर सही उत्तर है और मैंने इसे +1 किया। @ चाड-पेट्रिक द्वारा उत्तर भी बहुत मददगार है, और मैंने इसे भी 1 + 1 किया। लेकिन चाड के जवाब में एक दोष है, आपको इवेंट आईडी पर केवल माइनस साइन का उपयोग नहीं करना चाहिए , क्योंकि कुछ ऐप समान संख्याओं का उपयोग करते हैं। प्रदाता और ईवेंट आईडी पर अधिक कठोर फ़िल्टरिंग की आवश्यकता होती है। चूँकि इस पर विस्तार से बात चल रही है, यहाँ एक स्टार्टर लिंक है: bit.ly/1d9seDp
TonyG

4

केवल एक चीज जो आप विंडोज में कर सकते हैं वह है पूरी लॉग को साफ़ करना। मुझे केवल एक थर्ड पार्टी ऐप मिला, जो ऐसा करने का दावा करता है - विनज़ैपर , हालांकि मैंने कभी इसका इस्तेमाल नहीं किया है और यह बताता है कि यह NT और 2000 के लिए है, इसलिए मुझे नहीं पता कि यह सर्वर 2003/2008 के लिए काम करेगा या नहीं। ध्यान रखें कि इनका उपयोग करते समय ईवेंट लॉग के भ्रष्टाचार की संभावना है, इसलिए कैरीफुल तरीके से चलें।


1

समूह नीति में ऑडिट नीतियों को बदलने के लिए आपकी समस्या का समाधान क्या हो सकता है। यह जानने के बिना कि आप विशेष रूप से क्या दिखाना चाहते हैं, मुझे यकीन नहीं है कि इसके लिए कोई सेटिंग है, लेकिन यहां एक उदाहरण है।

GPMC में, कंप्यूटर कॉन्फ़िगरेशन - विंडोज सेटिंग्स - सुरक्षा सेटिंग्स - स्थानीय नीतियां - ऑडिट पॉलिसी के माध्यम से ड्रिल करें। यहाँ पर ग्रैन्युलैरिटी का TON नहीं है, लेकिन हो सकता है कि आप अपने लॉग को भरने से छुटकारा पा लें। (मेरे डीसी 2008 नहीं हैं, इसलिए यह वही है जो मुझे 2003 ईस्वी के परिप्रेक्ष्य से मिला है, उम्मीद है कि यह पूरी तरह से अलग नहीं है)


अच्छी बात है, लेकिन मुझे नहीं लगता कि यह मौजूदा लॉग को हटाता है । यह केवल भविष्य के लॉग को प्रभावित करता है।
पेसियर

0

विंडोज इवेंट लॉग से व्यक्तिगत लॉग प्रविष्टियों को हटाने का कोई समर्थित तरीका नहीं है। यह जानबूझकर बहुत अच्छे कारणों के लिए उस तरह से डिज़ाइन किया गया है।

अवांछित लॉग प्रविष्टियों को संबोधित करने का सबसे अच्छा तरीका उन घटनाओं को संभालना है जो उन्हें एप्लिकेशन के भीतर उचित रूप से उत्पन्न करते हैं। इसके अलावा, प्रत्येक संदेश के लिए उपयुक्त लॉग स्तर, अर्थात क्रिया, सूचना, चेतावनी, त्रुटि और महत्वपूर्ण त्रुटि का चयन करना, लॉग प्रदान करने में एक महत्वपूर्ण घटक है जो फ़िल्टर करना आसान है। कुछ लॉगिंग फ्रेमवर्क एक गिनती के साथ एकल लॉग प्रविष्टि में बार-बार समान घटनाओं को रोल करने की क्षमता प्रदान करते हैं।

दुर्भाग्य से, मैंने उन लोगों की काफी टिप्पणियां देखी हैं, जो कंप्यूटर सुरक्षा अवधारणाओं की एक बुनियादी समझ से चूक रहे हैं। लॉग में होने वाली घटनाएं, विशेष रूप से सुरक्षा इवेंट लॉग , एक कारण से अपरिवर्तनीय हैं। यदि सुरक्षा ईवेंट लॉग में ईवेंट हटाए जा सकते हैं, तो आप लॉग में किसी का पासवर्ड होने से कहीं अधिक कंप्यूटर की सुरक्षा को कम कर देंगे क्योंकि उन्होंने इसे गलत टेक्स्ट बॉक्स में टाइप किया था। अच्छे OS डिज़ाइनर जानते हैं कि लोग गलतियाँ करते हैं और सुरक्षा इवेंट लॉग में उपयोगकर्ता का पासवर्ड दिखाई दे सकता है। यह एक कारण है कि सुरक्षा इवेंट लॉग को केवल व्यवस्थापकों द्वारा देखे जाने की अनुमति है।

सुरक्षा लॉग से व्यक्तिगत घटनाओं को हटाने की क्षमता प्रदान करना, हालांकि, एक हमलावर को अपनी गतिविधियों को छुपाने की अनुमति देता है, जो कि पूरे लॉग को क्लीयर करने के लिए प्रदान किए जाने वाले एकमात्र प्रकार के ऑपरेशन की तुलना में स्पॉट करना अधिक कठिन है। बिंदु के रूप में, ओपन वेब एप्लिकेशन सिक्योरिटी प्रोजेक्ट (OWASP) साइट के एरर हैंडलिंग, ऑडिटिंग और लॉगिंग पेज पर कवर ट्रैक्स सेक्शन को संदर्भित करता है जो बताता है:

ट्रैक को कवर करें

लॉगिंग मेकेनिज्म अटैक में शीर्ष पुरस्कार दावेदार को जाता है जो एक दानेदार स्तर पर लॉग प्रविष्टियों को हटा या हेरफेर कर सकता है, "हालांकि यह घटना कभी भी नहीं हुई!"। रूटकिट्स की घुसपैठ और तैनाती एक हमलावर को विशेष साधनों का उपयोग करने की अनुमति देती है जो ज्ञात लॉग फ़ाइलों के हेरफेर को सहायता या स्वचालित कर सकती है। ज्यादातर मामलों में, लॉग फाइल को केवल रूट / एडमिनिस्ट्रेटर विशेषाधिकारों के साथ या अनुमोदित लॉग हेरफेर अनुप्रयोगों के माध्यम से चालाकी से किया जा सकता है। एक सामान्य नियम के रूप में, लॉगिंग मैकेनिज्म का लक्ष्य एक दानेदार स्तर पर हेरफेर को रोकने का लक्ष्य होना चाहिए क्योंकि एक हमलावर बिना पता लगाए काफी समय तक अपनी पटरियों को छिपा सकता है। सरल प्रश्न; यदि आपको किसी हमलावर द्वारा समझौता किया जा रहा है, तो क्या घुसपैठ अधिक स्पष्ट होगी यदि आपकी लॉग फ़ाइल असामान्य रूप से बड़ी या छोटी थी।

मैं आगे तर्क दूंगा कि जिस किसी के पास सिस्टम तक प्रशासनिक पहुंच है, उसे शुरू करने के लिए सावधानी और ध्यान के उच्च स्तर पर संलग्न होना चाहिए। इसका एक हिस्सा डबल-चेकिंग का काम है क्योंकि यह प्रदर्शन किया जाता है और नुकसानदायक गलतियों से बचाने के लिए सामान्य संवाद बक्से को पढ़ने के लिए रोक दिया जाता है।

यह सभी देखें:


-1

इवेंट लॉग और इवेंट स्रोत को हटाने के लिए आप एक .net अनुप्रयोग लिख सकते हैं।

उदाहरण स्रोत कोड नीचे के रूप में:

class Program
{
    static void Main(string[] args)
    {
        System.Diagnostics.EventLog.DeleteEventSource("YourEventSourceName");
        System.Diagnostics.EventLog.Delete("YourEventName");
    }
}

संदर्भ: http://msdn.microsoft.com/en-us/library/system.diagnostics.eventlog(v=vs.100).aspx


मैं सभी प्रविष्टियों को कैसे साफ़ कर सकता हूँ आवेदन घटना लॉग ?, केवल आवेदन प्रविष्टियों को नष्ट न करें, प्रविष्टियाँ
Kiquenet

क्या किसी ने यह परीक्षण किया था? क्या यह सभी घटनाओं के लिए काम करता है?
पचेरियर

-1

आप ईवेंट हटाने के लिए इस शेयर रजिस्ट्री स्थान से प्रविष्टि को हटा सकते हैं:

HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ सेवाओं \ eventlog


नहीं, आप वहां से किसी विशेष ईवेंट को नहीं हटा सकते। आप इवेंट लॉग और प्रदाताओं को वहां से हटा सकते हैं। एक ही बात नहीं है।
रोब मोइर
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.