[Vadikan]

Цитата eksman:

К примеру я хочу чтобы писались журналы "Система" и "Безопасность", а остальные не писались. Или наоборот. »

Зачем?

Цитата eksman:

В идеале чтобы можно было даже по фильтру кода события указывать, что писать а что нет. К примеру - только события с кодом 100 пишутся в журнал, остальное игнорируется. »

Отчасти это можно реализовать для WMI - смотрите GUID в событии, потом Enabled = 0 в

Код:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\журнал\GUID

Через год, глядишь, все настроите :)

[eksman]

Цитата Vadikan:

Зачем? »

Это хороший вопрос

Цитата Vadikan:

Отчасти это можно реализовать для WMI - смотрите GUID в событии, потом Enabled = 0 в »

Не понял, где именно смотреть GUID'ы? В свойствах отдельного события имеете ввиду?

Цитата Vadikan:

Через год, глядишь, все настроите »

Да, способ не идеальный, мягко говоря... Да и я не понял, как к примеру заблочить сразу "Application"? Только если все разделы внутри ветки "Application" править руками.

Вот странно то, что галочка недоступна, почему?)
Может кто знает более элегантный способ? Или хотя бы скриптик, который пробежится по реестру и сам проставит)

[Vadikan]

Цитата eksman:

Это хороший вопрос »

На который у вас нет ответа. Ясно.

Цитата eksman:

где именно смотреть GUID'ы? В свойствах отдельного события имеете ввиду? »

Да

Цитата eksman:

Вот странно то, что галочка недоступна, почему?) »

Потому что отключить ведение журнала нельзя. Можно поставить минимальный размер и все.

[eksman]

Я думаю, способ все же имеется, просто он не совсем очевиден.
Минимальный размер - проходили. Там меньше 1 mb не поставить.

Короче если кто-то знает более красивый способ - поделитесь, буду благодарен.

[Iska]

Цитата Vadikan:

На который у вас нет ответа. Ясно. »

Ответ-то есть. Но он нехороший. Я лично что бы не придумал, так явно под п.3.18 и его собратьев попадаю. Не вижу иных вариантов, когда бы потребовалось запретить ведение журнала событий.

[eksman]

Iska, Идите дальше, если у вас нет решения. Флудить не нужно.