マイクロソフトでは、これを意図的に禁止しています。イベントビューアの全体的な概念は、注意を要する可能性のある特定のイベントを提示することです。ランダムイベントが発生して削除されると、システムは、ある意味で、知らないうちに危険にさらされる可能性があり、その結果、システムが安全でなくなります。
エラーイベントがログに記録されている場合は、問題の原因を特定して修正します。ガムの塊を穴に貼り付けて、ダムの穴にパッチを適用したくありません。
何かが情報イベントまたは警告イベントを頻繁にログに記録している場合、多くの場合、イベントログソース(Microsoftまたはサードパーティのいずれか)は、アプリケーションに構成されているログ記録の頻度またはレベルを示す設定を持っています。ここで、イベントログを手術するのではなく、ログを最小限に抑えます。
OPの投稿は有効です。ロギング、エラー報告、アラートに関する最大の問題はホワイトノイズです。報告される「エラー」が多すぎて、そのほとんどが優先度が低いか、まったく問題がない場合、管理者はすべてのエラーを無視する傾向があります。良くも悪くも、これは人生の事実です。
彼が話しているエラーの1つは(私が思うに)イベントID 1111です。これは単に、接続しているサーバーで利用できないドライバーにプリンターがマップされていることを意味します。ほとんどの場合、問題のないエラーです。問題ではないため、「修正」する必要はありません。
実際の問題を見つけたい場合、特定のイベントIDを取り除いても問題ない場合は、次の手順でカスタムビューを作成します。
- イベントログで、操作ウィンドウの[現在のログをフィルター]をクリックします。
- ポップアップダイアログボックスの約半分下に、
<All Event IDs> - このテキストを必要なフィルターに置き換えます。
- 特定のイベントのみが必要な場合は、そのイベントIDをそこに配置します。
- 複数ある場合は、カンマで区切ります。
- 除外する場合は、マイナス記号を使用します。
- この場合、「-1111」を使用します(もちろん引用符は不要です)。
- ダイアログボックスで[OK]をクリックします。
- 操作ウィンドウで、[フィルターをカスタムビューに保存]をクリックします。
イベントログを確認する場合は、カスタムビューを使用すると、本当に関係のある情報のみが表示されます。
私はこれがデッドスレッドへの遅い投稿であることを知っていますが、うまくいけば、「[正常に動作している、n00b!]」の投稿よりも、これをグーグル化している他の誰かを助けるでしょう;-)
Windowsで実行できる唯一のことは、ログ全体をクリアすることです。これを行うと主張するサードパーティのアプリを1つだけ見つけた- Winzapper が、これを使用したことがなく、NTおよび2000向けであると記載されているため、サーバー2003 /で機能するかどうかわからない2008年これらを使用すると、イベントログが破損する可能性があることに注意してください。
問題を解決できるのは、グループポリシーの監査ポリシーを変更することです。具体的に何を表示したくないのかわからないので、設定があるかどうかはわかりませんが、ここに例を示します。
GPMCで、[コンピューターの構成]-[Windowsの設定]-[セキュリティの設定]-[ローカルポリシー]-[監査ポリシー]にドリルダウンします。ここには細かさのTONはありませんが、ログがいっぱいになっているものを取り除くことができます。 (私のDCは2008ではないので、これは2003年のADの観点から得たものですが、完全に異なっているわけではありません)
Windowsイベントログから個々のログエントリを削除する方法はサポートされていません。これは、いくつかの非常に正当な理由により、意図的にそのように設計されています。
不要なログエントリに対処する最善の方法は、アプリケーション内でそれらを適切に生成するイベントを処理することです。また、書き込まれるメッセージごとに適切なログレベル、つまり詳細、情報、警告、エラー、重大なエラーを選択することは、フィルタリングが簡単なログを提供するための重要なコンポーネントです。一部のロギングフレームワークは、繰り返される同一のイベントをカウント付きの単一のログエントリにロールアップする機能も提供します。
残念ながら、主要なコンピュータセキュリティの概念を根本的に把握できていないように思われる人々からのコメントを数多く目にしました。ログ内のイベント、特にセキュリティイベントログは、理由により不変です。セキュリティイベントログのイベントが削除される可能性がある場合、ユーザーが間違ったテキストボックスにパスワードを入力したため、ログに誰かのパスワードを入力するよりも、コンピュータのセキュリティが大幅に低下します。優れたOS設計者は、人々が間違いを犯し、ユーザーのパスワードがセキュリティイベントログに表示される可能性があることを理解しています。これは、セキュリティイベントログの表示が管理者のみに許可されている理由の1つです。
ただし、セキュリティログから個々のイベントを削除する機能を提供すると、攻撃者は、ログ全体をクリアすることが唯一の削除タイプの操作である場合よりもはるかに困難な方法でアクティビティを隠すことができます。適切な例として、Open Web Application Security Project(OWASP)サイトの エラー処理、監査、ログ ページのカバートラックセクションを参照してください。
カバートラック
ロギングメカニズム攻撃の最優秀賞は、「イベントが決して発生しなかったかのように」、ログエントリを細かいレベルで削除または操作できる候補者に与えられます。ルートキットの侵入と展開により、攻撃者は既知のログファイルの操作を支援または自動化する可能性のある特殊なツールを利用できます。ほとんどの場合、ログファイルは、root /管理者権限を持つユーザー、または承認されたログ操作アプリケーションを介してのみ操作できます。原則として、攻撃者は検出されずにかなり長い時間トラックを隠すことができるため、ロギングメカニズムは細かいレベルでの操作を防ぐことを目的とする必要があります。簡単な質問。攻撃者によって侵害されている場合、ログファイルが異常に大きいか小さいか、または1日おきのログのように見える場合、侵入はより明白になりますか?
さらに、システムへの管理アクセス権を持つ人は、まず、より高いレベルの注意と細部への注意を払うべきだと主張します。その一部は、実行中の作業の再確認と、有害な間違いを防ぐために一般的なダイアログボックスの読み取りを停止することです。
以下も参照してください。