Можно ли отключить ведение журнала событий Windows для определенной службы?

10

У нас есть устаревшее приложение, работающее на виртуальной машине Windows Server 2008 из Azure, которое каждую минуту рассылает спам в нашем журнале событий Windows. У меня нет доступа к источнику для кода, который записывается в журнал событий, только файл DLL. Я также не могу переписать его, так как это огромное программное обеспечение, как бы мне этого ни хотелось.

Итак, мой вопрос ... Есть ли у меня возможность заблокировать источник событий для определенных сообщений ? Очевидно, я не хочу блокировать весь источник событий от регистрации, поскольку он записывает полезные вещи, когда он идет не так, просто это одно конкретное сообщение засоряет журнал нашего сервера и становится довольно раздражающим!

windows-server-2008 eventviewer simonlchilds
источник
Я попробовал это на win 10 с гидом {54849625-5478-4994-A5BA-3E3B0328C30D}. Я создал новый ключ [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Security\{9580d7dd-0379-4658-9870-d5be7d52d6de}]. Затем я добавил EnabledDWORD со 0значением и LoggerNameстроку как EventLog-Security, но он не заблокирован.
user412229

Ответы:

6

Вы не можете остановить ведение журнала для определенного идентификатора события средствами Windows, однако вы можете изменить настройки фильтра средства просмотра событий, чтобы некоторые элементы не отображались, если вы хотите, т. Е. Создавать настраиваемое представление.

введите описание изображения здесь

Владимир Михайлович
источник
Это здорово, спасибо! Я на самом деле создал собственное представление только для службы, которая рассылает спам, за исключением журналов «Информация», что пока будет хорошо. Журнал приложений все равно будет спамом.
simonlchilds
Да, так и будет, но вы не увидите его в пользовательском представлении.
Владимир М.
2

да, вы можете ... я собираюсь использовать событие WLAN-AutoConfig с кодом 4001 предупреждение

во-первых, дважды щелкните по ошибке / предупреждению в средстве просмотра событий, перейдите на вкладку сведений и запишите руководство ({9580D7DD-0379-4658-9870-D5BE7D52D6DE})

Теперь откройте regedit и перейдите в [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ WMI \ Autologger \ EventLog-System \ {9580d7dd-0379-4658-9870-d5be7d52d6de}]

справа от того места, где находятся записи реестра, найдите «Включено», которое будет установлено в единицу, измените его на 0. Перезагрузите два раза, чтобы запись вступила в силу. это сработало для меня три ошибки / предупреждения, которые можно игнорировать

это должно работать для Windows Vista, 7 и 8 и их соответствующих аналогов Windows Server. я не знаю о Windows 10, но вы можете попробовать

ErickC
источник
не тестировал в течение длительного периода, но, похоже, он работает на windows 10 1809. Это помогло мне прекратить раздражающие сообщения, которые приходили каждую секунду от WHEA-Logger об исправленной аппаратной ошибке.
Алекс
0

Используйте диспетчер сервера или Perfomance MSC.

В разделе (Производительность) -> Наборы сборщиков данных-> Сеансы трассировки событий выберите EventLog-Application и нажмите [ENTER].

На вкладке « Поставщики трассировки » (по умолчанию) посмотрите список « Свойства» . Здесь вы найдете свойство Level , которое позволяет вам определять (фильтровать) уровень ведения журнала, как вы ожидаете.

Hatebit
источник