解决rsyslog接入windows agent出现大量SystemDataArchiver日志 2025-02-08 windows 暂无评论 110 次阅读 大量日志信息如下: ``` Feb 7 19:13:00 host EvntSLog The description for Event ID ( 2050 ) in Source ( Microsoft-Windows-SystemDataArchiver ) could not be found. It contains the following insertion string(s): Var No.: 1 - Data: Microsoft-Windows-SystemDataArchiver, Var No.: 3 - Data: 2050, Var No.: 6 - Data: 0, Var No.: 8 - Data: 8000000000000000 HEX, Var No.: 10 - Data: 99085129, Var No.: 13 - Data: 6724, Var No.: 14 - Data: 7984, Var No.: 15 - Data: Microsoft-Windows-SystemDataArchiver/Diagnostic, Var No.: 16 - Data: host, ``` Windows2019 2022 2025日志中有SystemDataArchiver,而Windows 2016及之下没有见到。 解决方式:关闭Microsoft-Windows-SystemDataArchiver(大模型生成答案) 如果您希望关闭 Microsoft-Windows-SystemDataArchiver 相关的事件记录,您可以通过修改事件日志的设置或禁用相关服务来实现。请注意,这样做可能会影响系统的性能监控和数据收集功能,因此请谨慎操作。 关闭 Microsoft-Windows-SystemDataArchiver 的步骤: 1、通过事件查看器禁用日志: ①按 Win + R 打开运行对话框,输入 eventvwr.msc,然后按 Enter 进入事件查看器。 ②在左侧面板中,导航到 应用程序和服务日志 > Microsoft > Windows > SystemDataArchiver。 ③如果有“操作”选项,您可能会看到一个选项来禁用日志或设置其属性。请注意,并不是所有事件日志都可以通过此方法禁用。  2、使用注册表编辑器禁用相关日志: ①按 Win + R,输入 regedit,然后按 Enter 打开注册表编辑器。 ②导航到以下路径(注意备份注册表以防万一): ``` HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\EventLog\\Microsoft-Windows-SystemDataArchiver ``` ③查看是否有可以禁用的设置。您可能会看到“Disable”键,可以将其值设置为 1 来禁用日志记录。 3、禁用 SRUM 服务:(没找到该服务) ①SRUM(系统资源使用监控)负责收集和记录系统资源使用数据。虽然不推荐完全禁用它,但如果确实需要,可以尝试停止和禁用相关服务: ②按 Win + R,输入 services.msc,然后按 Enter。 ③找到 System Resource Usage Monitor 服务,右键单击并选择“停止”。 ④如果想要禁止其在启动时运行,右键单击该服务,选择“属性”,然后将“启动类型”更改为“禁用”。 4、使用组策略(适用于 Windows 专业版及以上版本): ①按 Win + R,输入 gpedit.msc,然后按 Enter 打开组策略编辑器。 ②导航到 计算机配置 > 管理模板 > Windows 组件 > 事件日志服务,查看是否有与 SystemDataArchiver 相关的策略可以禁用。 注意事项 ①关闭或禁用这些功能可能会影响您监控系统性能或收集相关数据的能力。 ②在进行任何更改之前,请务必备份重要数据和系统设置。 ③如果您不确定如何操作,建议咨询专业的 IT 支持人员。 标签: rsyslog 本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。