服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 按源分区事件日志
Intereting Posts
RRAS(路由和远程访问)将进程优先级更改为“实时”? 如何告诉mod_auth_kerb尽其所能,尽pipe没有“要求有效的用户” 我应该使用什么Raid网站静态文件/内容 如果没有运行,Shell脚本启动Mysql服务器 使用TCP转发Windows日志事件 dm_exec_query_stats返回的工作时间大于经过的时间 我知道我有更多的自由空间 在RHEL 6或Fedora 14上,可以在不中断进程的情况下共享或接pipegraphics会话? 虚拟声卡的Windows服务器? 减轻磁盘故障的风险+一些腐败? Systemd / ssh:无法分配内存 AT作业未运行 添加IIS6 MetabaseCompatibilityangular色后,inetmgr崩溃 virt-install如何创build并保持启动磁盘? 云计算IaaS工具

按源分区事件日志

有没有办法限制一个source对Windows事件日志日志的影响?

即大多数系统将事件报告给application事件日志。 一个系统在出现问题时特别发出声音,在几秒钟内logging数千个错误,因为它不断重试并且某些操作失败,而不会在尝试之间暂停。 这意味着不仅违规系统的事件日志只能回退几分钟,而且整个application日志也会被泛滥,从同一台服务器上的其他系统丢失有用的信息。

我不能做任何有关违规的系统(缺乏禁用它),但有什么办法可以:

  • 限制为单一source保留的logging数量; 即它不能填满整个log
  • 将这个source移动到另一个log ; 所以应用程序认为它是在同一地点报告问题,但他们现在正在其他地方被放置在其他地方?
  • 做任何事情来保护我的日志从这个罪犯?

我试着简单地在不同的日志下重新创build源代码(请参阅下面的PowerShell),但没有任何喜悦(新日志显示,但应用程序似乎可以继续向旧日志报告): 

 Remove-EventLog -Source 'OffendingAppSource' New-EventLog -Source 'OffendingAppSource' -LogName 'OffendingAppLog'

有没有办法限制一个来源对Windows事件日志日志的影响?

我可以想到你可以做的四件事来限制影响:

  1. 系统是硬编码写入这个日志。 没有访问源代码,这是不会改变的。 请联系系统创build者/供应商,请求他们仅为该应用程序写入自定义日志。
  2. 您可以通过创build事件触发任务来更改失败事件的频率。 让任务触发淹没日志的事件并运行自定义脚本来停止服务并运行一些运行状况检查,然后重新启动服务,一旦一切正常。 这样你可以控制系统logging失败事件的频率。
  3. 增加应用程序日志文件大小并将日志configuration为自动备份而不是覆盖事件。
  4. 将事件转发设置为事件收集器,并在事件订阅中禁止来自此应用程序源的事件。 这对于将所有服务器事件集中到一个中心位置进行审阅或摄入SIEM(如Splunk)非常有用。