pengembangan-web-mp.com

Bagaimana saya bisa menghapus peristiwa tertentu dari log peristiwa di Windows Server 2008?

Apakah saya memerlukan alat pihak ketiga untuk ini?

21
JC.

Microsoft dengan sengaja mencegah Anda melakukan hal ini. Seluruh konsep Peraga Peristiwa adalah untuk menyajikan kepada Anda peristiwa-peristiwa tertentu yang mungkin memerlukan perhatian Anda. Jika seseorang bisa masuk dan menghapus acara acak apa pun, maka sistem bisa - dalam beberapa hal - dikompromikan tanpa Anda sadari, sehingga membuatnya tidak aman.

Jika Anda memiliki kesalahan dicatat, cari tahu apa yang menyebabkan masalah dan memperbaikinya. Anda tidak ingin menambal lubang di bendungan dengan menempelkan segumpal permen karet ke dalam lubang.

Jika ada sesuatu yang mencatat informasi atau peringatan terlalu sering, maka berkali-kali sumber log peristiwa (baik Microsoft atau pihak ketiga) memiliki beberapa pengaturan yang menunjukkan seberapa sering atau ke tingkat mana logging dikonfigurasi untuk aplikasi. Di situlah Anda pergi untuk meminimalkan penebangan, bukan dengan melakukan operasi pada log peristiwa.

18
mrTomahawk

Pos OP valid. Masalah nomor satu dengan logging, pelaporan kesalahan, dan peringatan adalah white noise. Ketika terlalu banyak "kesalahan" dilaporkan dan kebanyakan dari mereka adalah prioritas rendah atau tidak ada perhatian sama sekali, administrator cenderung mengabaikan SEMUA kesalahan. Baik atau buruk, ini hanya fakta kehidupan.

Salah satu kesalahan yang ia bicarakan adalah (saya pikir) event ID 1111. Ini hanya berarti bahwa Anda memiliki printer yang dipetakan dengan driver yang tidak tersedia di server di mana Anda terhubung. Ini adalah kesalahan yang tidak menjadi perhatian dalam banyak kasus ... tidak ada yang perlu "diperbaiki" karena ini bukan masalah.

Jika Anda ingin menemukan masalah aktual dan Anda memiliki ID peristiwa spesifik yang tidak ingin Anda singkirkan, buat tampilan khusus dengan langkah-langkah berikut:

  1. Di log acara Anda klik "Saring Log Sekarang" di panel tindakan.
  2. Sekitar setengah jalan ke bawah kotak dialog yang muncul, Anda akan menemukan kotak teks dengan <All Event IDs>
  3. Ganti teks ini dengan kebutuhan filter Anda.
    • Jika Anda hanya menginginkan acara tertentu, masukkan ID acara itu di sana.
    • Jika Anda memiliki beberapa, gunakan koma untuk memisahkan.
    • Jika Anda ingin mengecualikan, gunakan tanda minus.
    • Dalam hal ini kita akan menggunakan "-1111" (tanpa tanda kutip tentunya).
  4. Klik "OK" pada kotak dialog.
  5. Di panel tindakan sekarang Anda klik "Simpan Filter ke Tampilan Kustom".

Sekarang ketika Anda ingin melihat log acara Anda, gunakan tampilan kustom Anda dan hanya informasi yang benar-benar Anda perhatikan yang akan ditampilkan.

Saya tahu bahwa ini adalah posting yang terlambat ke sebuah utas mati tetapi mudah-mudahan ini membantu orang lain yang menggunakan Googling ini lebih dari pada posting "[Bekerja sebagaimana dimaksud, n00b!]" ;-)

35
Chad Patrick

Satu-satunya hal yang dapat Anda lakukan di Windows adalah menghapus seluruh log. Saya hanya menemukan satu aplikasi pihak ketiga yang mengklaim melakukan ini - Winzapper , namun saya belum pernah menggunakannya dan menyatakan itu untuk NT dan 2000 jadi saya tidak tahu apakah itu akan bekerja untuk server 2003/2008 Ketahuilah bahwa ada potensi korupsi pada log Acara saat menggunakan ini, jadi injak dengan hati-hati.

4
Sam Cogan

Apa yang mungkin memecahkan masalah Anda adalah mengubah kebijakan audit dalam kebijakan grup. Tanpa mengetahui secara spesifik apa yang ingin Anda tidak muncul, saya tidak yakin apakah ada pengaturan untuk itu, tapi inilah contohnya.

Di GPMC, telusuri Konfigurasi Komputer - Pengaturan Windows - Pengaturan Keamanan - Kebijakan Lokal - Kebijakan Audit. Tidak ada TON granularitas di sini, tapi mungkin Anda dapat menyingkirkan apa yang mengisi log Anda. (DC saya bukan 2008, jadi ini yang saya dapatkan dari perspektif 2003 M, semoga tidak terlalu berbeda)

1
Kara Marfia

Tidak ada cara yang didukung untuk menghapus entri log individual dari Windows Event Logs. Ini sengaja dirancang seperti itu untuk sejumlah alasan yang sangat bagus.

Cara terbaik untuk mengatasi entri log yang tidak diinginkan adalah untuk menangani peristiwa yang menghasilkannya secara tepat dalam aplikasi. Juga, memilih level log yang sesuai, mis. Verbose, informasi, peringatan, kesalahan, dan kesalahan kritis, untuk setiap pesan yang ditulis adalah komponen penting dalam menyediakan log yang mudah disaring. Beberapa kerangka kerja logging juga menyediakan kemampuan untuk menggulung kejadian identik berulang ke entri log tunggal dengan hitungan.

Sayangnya, saya telah melihat beberapa komentar dari orang-orang yang tampaknya kehilangan pemahaman mendasar tentang konsep keamanan komputer utama. Peristiwa dalam log, terutama log peristiwa keamanan , tidak dapat diubah karena suatu alasan. Jika peristiwa dalam log peristiwa keamanan dapat dihapus Anda akan mengurangi keamanan komputer jauh lebih banyak daripada kata sandi seseorang di log karena mereka mengetiknya di kotak teks yang salah. Perancang OS yang baik tahu bahwa orang membuat kesalahan dan kata sandi pengguna mungkin muncul di log peristiwa keamanan. Ini adalah salah satu alasan mengapa log peristiwa keamanan hanya diizinkan untuk dilihat oleh Administrator.

Akan tetapi, memberikan kemampuan untuk menghapus masing-masing peristiwa dari log keamanan, memungkinkan penyerang menyembunyikan aktivitas mereka dengan cara yang jauh lebih sulit dikenali daripada saat membersihkan seluruh log adalah satu-satunya operasi tipe hapus yang disediakan. Sebagai contoh merujuk pada bagian Lagu Penutup di situs Proyek Keamanan Aplikasi Web Terbuka (OWASP) --- Penanganan Kesalahan, Audit dan Logging halaman yang menyatakan:

Lagu Sampul

Hadiah utama dalam serangan mekanisme pencatatan masuk ke penantang yang dapat menghapus atau memanipulasi entri log pada tingkat terperinci, "seolah-olah peristiwa tersebut tidak pernah terjadi!". Intrusi dan penyebaran rootkit memungkinkan penyerang untuk menggunakan alat khusus yang dapat membantu atau mengotomatiskan manipulasi file log yang dikenal. Dalam kebanyakan kasus, file log hanya dapat dimanipulasi oleh pengguna dengan hak akses root/administrator, atau melalui aplikasi manipulasi log yang disetujui. Sebagai aturan umum, mekanisme logging harus bertujuan untuk mencegah manipulasi pada tingkat granular karena penyerang dapat menyembunyikan jejak mereka untuk waktu yang cukup lama tanpa terdeteksi. Pertanyaan sederhana; jika Anda dikompromikan oleh penyerang, apakah intrusi akan lebih jelas jika file log Anda besar atau kecil, atau jika itu tampak seperti log setiap hari?

Saya selanjutnya akan berpendapat bahwa siapa pun yang memiliki akses administratif ke suatu sistem harus terlibat dalam tingkat kehati-hatian dan perhatian terhadap detail yang lebih tinggi untuk memulai. Bagian dari itu adalah memeriksa ulang pekerjaan yang dilakukan dan berhenti untuk membaca bahkan kotak dialog umum untuk melindungi dari kesalahan yang merusak.

Lihat juga:

0
JamieSee