it-swarm-es.com

¿Cómo puedo eliminar eventos específicos del registro de eventos en Windows Server 2008?

¿Necesito una herramienta de terceros para esto?

21
JC.

Microsoft deliberadamente le impide hacer esto. El concepto completo del Visor de eventos es presentarle ciertos eventos que pueden requerir su atención. Si se pudiera ingresar y eliminar cualquier evento aleatorio, entonces el sistema podría, en cierto sentido, verse comprometido sin que usted lo supiera, por lo que sería inseguro.

Si tiene un evento de error registrado, averigüe qué está causando el problema y corríjalo. No quieres parchar un agujero en una presa pegando un chicle en el agujero.

Si algo registra eventos informativos o de precaución con demasiada frecuencia, muchas veces el origen del registro de eventos (ya sea Microsoft o un tercero) tiene alguna configuración que indica con qué frecuencia o en qué nivel de registro está configurado para la aplicación. Ahí es donde debe ir para minimizar el registro, no haciendo cirugía en el registro de eventos.

18
mrTomahawk

La publicación del OP es válida. El problema número uno con el registro, el informe de errores y las alertas es el ruido blanco. Cuando se informan demasiados "errores" y la mayoría de ellos son de baja prioridad o no preocupan en absoluto, los administradores tienden a ignorar TODOS los errores. Bueno o malo, esto es solo un hecho de la vida.

Uno de los errores de los que está hablando es (creo) el ID de evento 1111. Simplemente significa que tiene una impresora asignada con un controlador que no está disponible en el servidor al que está conectado. Es un error sin importancia en la mayoría de los casos ... no hay nada que "arreglar" ya que no es un problema.

Si desea encontrar problemas reales y tiene identificadores de eventos específicos que no desea eliminar, cree una vista personalizada con los siguientes pasos:

  1. En su registro de eventos, haga clic en "Filtrar registro actual" en el panel de acciones.
  2. Alrededor de la mitad del cuadro de diálogo que aparece, encontrará un cuadro de texto con <All Event IDs>
  3. Reemplace este texto con sus necesidades de filtro.
    • Si solo desea un determinado evento, coloque esa ID de evento allí.
    • Si tienes múltiplos, usa comas para separar.
    • Si desea excluir, use un signo menos.
    • En este caso, usaríamos "-1111" (sin las comillas, por supuesto).
  4. Haga clic en "Aceptar" en el cuadro de diálogo.
  5. En el panel de acciones, ahora hace clic en "Guardar filtro en vista personalizada".

Ahora, cuando desee ver su registro de eventos, use su vista personalizada y solo se mostrará la información que realmente le preocupa.

Sé que esta es una publicación tardía en un hilo muerto, pero espero que ayude a alguien más que está buscando en Google más que publicaciones de "[¡Trabajando como se esperaba, n00b!]" ;-)

35
Chad Patrick

Lo único que puede hacer en Windows es borrar todo el registro. Solo encontré una aplicación de terceros que dice hacer esto - Winzapper , sin embargo, nunca la he usado y dice que es para NT y 2000, así que no sé si funcionará para el servidor 2003/2008 Tenga en cuenta que existe la posibilidad de que se dañe el registro de eventos al usarlos, por lo tanto, tenga cuidado.

4
Sam Cogan

Lo que podría resolver su problema es cambiar las políticas de auditoría en la política de grupo. Sin saber qué es lo que específicamente desea que no aparezca, no estoy seguro de si hay una configuración, pero aquí hay un ejemplo.

En GPMC, profundice en Configuración del equipo - Configuración de Windows - Configuración de seguridad - Políticas locales - Política de auditoría. No hay una TONELADA de granularidad aquí, pero tal vez puedas deshacerte de lo que está llenando tus registros. (Mis DC no son 2008, así que esto es lo que tengo desde una perspectiva de 2003 AD, espero que no sea completamente diferente)

1
Kara Marfia

No hay una forma compatible de eliminar entradas de registro individuales de los registros de eventos de Windows. Esto está diseñado a propósito de esa manera por una serie de muy buenas razones.

La mejor manera de abordar las entradas de registro no deseadas es manejar los eventos que las generan adecuadamente dentro de la aplicación. Además, seleccionar el nivel de registro apropiado, es decir, detallado, información, advertencia, error y error crítico, para cada mensaje que se está escribiendo es un componente importante para proporcionar registros que sean fáciles de filtrar. Algunos marcos de registro también proporcionan la capacidad de acumular eventos idénticos repetidos en una sola entrada de registro con un recuento.

Desafortunadamente, he visto bastantes comentarios de personas que parecen estar perdiendo una comprensión fundamental de los conceptos clave de seguridad informática. Los eventos en un registro, especialmente un registro de eventos de seguridad , son inmutables por una razón. Si se pudieran eliminar los eventos en el registro de eventos de seguridad, estaría disminuyendo la seguridad de la computadora mucho más que tener la contraseña de alguien en el registro porque la escribió en el cuadro de texto incorrecto. Los buenos diseñadores de sistemas operativos saben que las personas cometen errores y que la contraseña de un usuario puede aparecer en el registro de eventos de seguridad. Es una de las razones por las cuales los Administradores solo pueden ver los registros de eventos de seguridad.

Sin embargo, proporcionar la capacidad de eliminar eventos individuales del registro de seguridad permite al atacante ocultar sus actividades de una manera que es mucho más difícil de detectar que cuando borrar todo el registro es la única operación de tipo de eliminación que se proporciona. Como un ejemplo, consulte la sección Cover Tracks en el sitio del Proyecto de seguridad de aplicaciones web abiertas (OWASP) Manejo de errores, auditoría y registro página que dice:

Pistas de portada

El primer premio en ataques de mecanismo de registro es para el contendiente que puede eliminar o manipular entradas de registro a nivel granular, "¡como si el evento nunca hubiera sucedido!". La intrusión y el despliegue de rootkits permiten a un atacante utilizar herramientas especializadas que pueden ayudar o automatizar la manipulación de archivos de registro conocidos. En la mayoría de los casos, los archivos de registro solo pueden ser manipulados por usuarios con privilegios de administrador/raíz o mediante aplicaciones de manipulación de registros aprobadas. Como regla general, los mecanismos de registro deben tener como objetivo evitar la manipulación a nivel granular, ya que un atacante puede ocultar sus huellas durante un período considerable de tiempo sin ser detectado. Pregunta simple; si un atacante lo comprometiera, ¿sería más obvia la intrusión si su archivo de registro fuera anormalmente grande o pequeño, o si apareciera como el registro de cada dos días?

Además, argumentaría que, para empezar, cualquier persona que tenga acceso administrativo a un sistema debería tener un mayor nivel de precaución y atención a los detalles. Parte de eso es verificar el trabajo a medida que se realiza y detenerse para leer incluso cuadros de diálogo comunes para protegerse contra errores dañinos.

Ver también:

0
JamieSee