web-dev-qa-db-fra.com

Comment supprimer des événements spécifiques du journal des événements dans Windows Server 2008?

Ai-je besoin d'un outil tiers pour cela?

21
JC.

Microsoft vous empêche expressément de le faire. Le concept de l'Observateur d'événements est de vous présenter certains événements qui peuvent nécessiter votre attention. Si l'on pouvait entrer et supprimer un événement aléatoire, le système pourrait - dans un sens - être compromis à votre insu, ce qui le rendrait dangereux.

Si vous avez enregistré un événement d'erreur, recherchez la cause du problème et corrigez-le. Vous ne voulez pas colmater un trou dans un barrage en collant une liasse de gomme dans le trou.

Si quelque chose enregistre les événements d'information ou d'avertissement trop souvent, la source du journal des événements (Microsoft ou un tiers) a souvent un paramètre qui indique la fréquence ou le niveau de journalisation configuré pour l'application. C'est là que vous allez pour minimiser la journalisation, pas en effectuant une intervention chirurgicale sur le journal des événements.

18
mrTomahawk

Le poste du PO est valide. Le problème numéro un de la journalisation, du rapport d'erreurs et des alertes est le bruit blanc. Lorsque trop d'erreurs sont signalées et que la plupart d'entre elles sont de faible priorité ou ne présentent aucun problème, les administrateurs ont tendance à ignorer TOUTES les erreurs. Bon ou mauvais, c'est juste une réalité de la vie.

L'une des erreurs dont il parle est (je pense) l'événement ID 1111. Cela signifie simplement que vous avez une imprimante mappée avec un pilote qui n'est pas disponible sur le serveur auquel vous êtes connecté. C'est une erreur sans souci dans la plupart des cas ... il n'y a rien à "corriger" car ce n'est pas un problème.

Si vous souhaitez rechercher des problèmes réels et que vous avez des ID d'événement spécifiques que vous ne souhaitez pas analyser, créez une vue personnalisée avec les étapes suivantes:

  1. Dans votre journal des événements, cliquez sur "Filtrer le journal actuel" dans le volet Actions.
  2. À mi-chemin de la boîte de dialogue qui apparaît, vous trouverez une zone de texte avec <All Event IDs>
  3. Remplacez ce texte par vos besoins de filtrage.
    • Si vous voulez seulement un certain événement, mettez cet ID d'événement dedans.
    • Si vous en avez plusieurs, séparez-les par des virgules.
    • Si vous souhaitez exclure, utilisez un signe moins.
    • Dans ce cas, nous utiliserions "-1111" (sans les guillemets bien sûr).
  4. Cliquez sur "OK" dans la boîte de dialogue.
  5. Dans le volet Actions, vous cliquez maintenant sur "Enregistrer le filtre dans une vue personnalisée".

Maintenant, lorsque vous souhaitez consulter votre journal des événements, utilisez votre vue personnalisée et seules les informations qui vous intéressent vraiment seront affichées.

Je sais que c'est un post en retard sur un fil mort mais j'espère que cela aide quelqu'un d'autre qui google plus que les posts de "[Working as expected, n00b!]" ;-)

35
Chad Patrick

La seule chose que vous pouvez faire dans Windows est d'effacer tout le journal. Je n'ai trouvé qu'une application tierce qui prétend faire cela - Winzapper , cependant je ne l'ai jamais utilisée et elle indique que c'est pour NT et 2000, donc je ne sais pas si cela fonctionnera pour le serveur 2003/2008. Soyez conscient qu'il existe un risque de corruption du journal des événements lors de leur utilisation, alors soyez prudent.

4
Sam Cogan

Ce qui pourrait résoudre votre problème est de modifier les stratégies d'audit dans la stratégie de groupe. Sans savoir précisément ce que vous souhaitez ne pas afficher, je ne sais pas s'il y a un paramètre pour cela, mais voici un exemple.

Dans GPMC, explorez Configuration ordinateur - Paramètres Windows - Paramètres de sécurité - Stratégies locales - Stratégie d'audit. Il n'y a pas une tonne de granularité ici, mais vous pouvez peut-être vous débarrasser de ce qui remplit vos journaux. (Mes contrôleurs de domaine ne sont pas 2008, c'est donc ce que j'ai d'un point de vue AD 2003, j'espère que ce n'est pas complètement différent)

1
Kara Marfia

Il n'existe aucun moyen pris en charge pour supprimer des entrées de journal individuelles des journaux des événements Windows. Ceci est délibérément conçu de cette façon pour un certain nombre de très bonnes raisons.

La meilleure façon de traiter les entrées de journal indésirables est de gérer les événements qui les génèrent correctement dans l'application. En outre, la sélection du niveau de journal approprié, c'est-à-dire verbeux, informations, avertissement, erreur et erreur critique, pour chaque message en cours d'écriture est un élément important pour fournir des journaux faciles à filtrer. Certaines infrastructures de journalisation offrent également la possibilité de cumuler des événements identiques répétés en une seule entrée de journal avec un décompte.

Malheureusement, j'ai vu pas mal de commentaires de personnes qui semblent manquer une compréhension fondamentale des concepts clés de la sécurité informatique. Les événements dans un journal, en particulier un journal des événements de sécurité , sont immuables pour une raison. Si les événements du journal des événements de sécurité pouvaient être supprimés, vous réduiriez la sécurité de l'ordinateur beaucoup plus que d'avoir le mot de passe de quelqu'un dans le journal, car ils l'ont tapé dans la mauvaise zone de texte. Les bons concepteurs de systèmes d'exploitation savent que les gens font des erreurs et que le mot de passe d'un utilisateur peut apparaître dans le journal des événements de sécurité. C'est l'une des raisons pour lesquelles les journaux des événements de sécurité ne peuvent être consultés que par les administrateurs.

Cependant, la possibilité de supprimer des événements individuels du journal de sécurité permet à un attaquant de cacher ses activités d'une manière beaucoup plus difficile à repérer que lorsque l'effacement de l'intégralité du journal est la seule opération de type suppression fournie. À titre d'exemple, reportez-vous à la section Cover Tracks de la page Traitement des erreurs, audit et journalisation du site Open Web Application Security Project (OWASP) qui indique:

Pistes de couverture

Le premier prix dans les attaques de mécanisme de journalisation revient au candidat qui peut supprimer ou manipuler des entrées de journal à un niveau granulaire, "comme si l'événement ne s'était même jamais produit!". L'intrusion et le déploiement de rootkits permettent à un attaquant d'utiliser des outils spécialisés qui peuvent aider ou automatiser la manipulation de fichiers journaux connus. Dans la plupart des cas, les fichiers journaux ne peuvent être manipulés que par des utilisateurs disposant de privilèges root/administrateur, ou via des applications de manipulation de journaux approuvées. En règle générale, les mécanismes de journalisation doivent viser à empêcher toute manipulation à un niveau granulaire, car un attaquant peut masquer ses traces pendant une durée considérable sans être détecté. Question simple; si vous étiez compromis par un attaquant, l'intrusion serait-elle plus évidente si votre fichier journal était anormalement grand ou petit, ou s'il apparaissait comme un journal tous les deux jours?

Je dirais en outre que quiconque a un accès administratif à un système devrait commencer par faire preuve de plus de prudence et d'attention aux détails. Une partie de cela consiste à revérifier le travail pendant qu'il est effectué et à s'arrêter pour lire même les boîtes de dialogue courantes pour se protéger contre les erreurs dommageables.

Voir également:

0
JamieSee