it-swarm-pt.tech

Como posso remover eventos específicos do log de eventos no Windows Server 2008?

Preciso de uma ferramenta de terceiros para isso?

21
JC.

A Microsoft intencionalmente impede você de fazer isso. Todo o conceito do Visualizador de Eventos é apresentar a você determinados eventos que podem exigir sua atenção. Se alguém pudesse entrar e excluir qualquer evento aleatório, o sistema poderia - em certo sentido - ser comprometido sem você saber, tornando-o inseguro.

Se você tiver um evento de erro registrado, descubra o que está causando o problema e corrija-o. Você não quer consertar um buraco em uma barragem furando um chiclete no buraco.

Se algo estiver registrando eventos informativos ou de precaução com muita frequência, muitas vezes a origem do log de eventos (Microsoft ou terceiros) possui alguma configuração que indica com que frequência ou com que nível de log está configurado para o aplicativo. É aí que você minimiza o log, não fazendo cirurgia no log de eventos.

18
mrTomahawk

A postagem do OP é válida. O problema número um com registro, relatório de erros e alerta é ruído branco. Quando muitos "erros" são relatados e a maioria deles é de baixa prioridade ou de nenhuma preocupação, os administradores tendem a ignorar TODOS os erros. Bom ou ruim, isso é apenas um fato da vida.

Um dos erros dos quais ele está falando é (acho) o evento 1111. Isso significa simplesmente que você tem uma impressora mapeada com um driver que não está disponível no servidor ao qual você está conectado. Na maioria dos casos, é um erro que não preocupa ... não há nada para "consertar", pois não é um problema.

Se você deseja encontrar problemas reais e possui IDs de eventos específicos nos quais você não deseja eliminar, crie uma exibição personalizada com as seguintes etapas:

  1. No seu log de eventos, clique em "Filtrar log atual" no painel de ações.
  2. Na metade da caixa de diálogo exibida, você encontrará uma caixa de texto com <All Event IDs>
  3. Substitua este texto pelas suas necessidades de filtro.
    • Se você deseja apenas um determinado evento, insira esse ID de evento.
    • Se você tiver múltiplos, use vírgulas para separar.
    • Se você deseja excluir, use um sinal de menos.
    • Nesse caso, usaríamos "-1111" (sem as aspas, é claro).
  4. Clique em "OK" na caixa de diálogo.
  5. No painel de ações, você agora clica em "Salvar filtro na exibição personalizada".

Agora, quando você desejar examinar seu log de eventos, use sua visualização personalizada e apenas as informações com as quais você realmente se preocupa serão exibidas.

Eu sei que este é um post atrasado para um tópico morto, mas espero que ajude alguém que esteja pesquisando isso no Google mais do que posts de "[Trabalhando como pretendido, n00b!]" ;-)

35
Chad Patrick

A única coisa que você pode fazer no Windows é limpar todo o log. Eu encontrei apenas um aplicativo de terceiros que afirma fazer isso - Winzapper , no entanto, nunca o usei e afirma que é para NT e 2000, portanto não sei se funcionará no servidor 2003/2008. Esteja ciente de que existe um potencial de corrupção do log de eventos ao usá-los; portanto, tome cuidado.

4
Sam Cogan

O que pode resolver seu problema é alterar as políticas de auditoria na política de grupo. Sem saber o que especificamente você deseja que não apareça, não tenho certeza se há uma configuração para isso, mas aqui está um exemplo.

No GPMC, faça uma busca detalhada em Configuração do computador - Configurações do Windows - Configurações de segurança - Diretivas locais - Diretiva de auditoria. Não há uma tonelada de granularidade aqui, mas talvez você possa se livrar do que está preenchendo seus logs. (Meus DCs não são 2008, então é isso que eu tenho da perspectiva de 2003 AD, espero que não seja completamente diferente)

1
Kara Marfia

Não há maneira suportada de excluir entradas de log individuais dos Logs de Eventos do Windows. Isso foi projetado propositadamente dessa maneira por várias razões muito boas.

A melhor maneira de lidar com entradas de log indesejadas é manipular os eventos que as geram adequadamente no aplicativo. Além disso, a seleção do nível de log apropriado, ou seja, informações detalhadas, informações, aviso, erro e erro crítico, para cada mensagem sendo gravada é um componente importante no fornecimento de logs fáceis de filtrar. Algumas estruturas de log também fornecem a capacidade de acumular eventos idênticos repetidos em uma única entrada de log com uma contagem.

Infelizmente, eu tenho visto alguns comentários de pessoas que parecem estar perdendo uma compreensão fundamental dos principais conceitos de segurança de computadores. Os eventos em um log , especialmente um log de eventos de segurança , são imutáveis ​​por um motivo. Se os eventos no log de eventos de segurança pudessem ser excluídos, você diminuiria muito mais a segurança do computador do que ter a senha de alguém no log, porque a digitou na caixa de texto incorreta. Bons designers de sistemas operacionais sabem que as pessoas cometem erros e que a senha de um usuário pode aparecer no log de eventos de segurança. Esse é um dos motivos pelos quais os logs de eventos de segurança só podem ser visualizados pelos administradores.

A capacidade de excluir eventos individuais do log de segurança, no entanto, permite que um invasor oculte suas atividades de uma maneira que é muito mais difícil de detectar do que quando limpar o log inteiro é a única operação de exclusão que é fornecida. Como exemplo, consulte a seção Faixas de cobertura no site do Open Web Application Security Project (OWASP) Tratamento de erros, auditoria e registro página que indica:

Faixas de cobertura

O principal prêmio em ataques ao mecanismo de registro vai para o concorrente que pode excluir ou manipular as entradas do registro em um nível granular "como se o evento nunca tivesse acontecido!". A invasão e implantação de rootkits permite que um invasor utilize ferramentas especializadas que podem ajudar ou automatizar a manipulação de arquivos de log conhecidos. Na maioria dos casos, os arquivos de log podem ser manipulados apenas por usuários com privilégios de administrador/raiz ou por meio de aplicativos de manipulação de log aprovados. Como regra geral, os mecanismos de registro em log devem ter como objetivo impedir a manipulação em nível granular, pois um invasor pode ocultar suas trilhas por um período considerável de tempo sem ser detectado. Questão simples; se você estivesse sendo comprometido por um invasor, a invasão seria mais óbvia se o arquivo de log fosse anormalmente grande ou pequeno ou se aparecesse como o log de todos os dias?

Eu argumentaria ainda que qualquer pessoa que tenha acesso administrativo a um sistema deve ter um nível mais alto de cautela e atenção aos detalhes, para começar. Parte disso é a verificação dupla do trabalho conforme é executado e a parada para ler até mesmo caixas de diálogo comuns para proteger contra erros prejudiciais.

Veja também:

0
JamieSee