1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Windows Как очистить журнал событий

Тема в разделе "FAQ по Microsoft Windows", создана пользователем akok, 5 авг 2017.

  1. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.433
    Симпатии:
    14.592
    Журнал событий англ. Event Log — в Microsoft Windows стандартный способ для приложений и операционной системы записи и централизованного хранения информации о важных программных и аппаратных событиях. Служба журналов событий сохраняет события от различных источников в едином журнале событий, программа просмотра событий позволяет пользователю наблюдать за журналом событий, программный интерфейс (API) позволяет приложениям записывать в журнал информацию и просматривать существующие записи.

    Иногда (обычно для диагностики, реже для попытки скрыть свою (в том числе неправомерную) активность в системе) журнал событий может быть очищен. Естественно, журнал событий можно очистить и при помощи GUI.

    Win+R, набрать Eventvwr.msc, выбрать нужный журнал и вменю (которое вызывается правой клавишей мыши) выбрать "Очистить журнал".


    1.

    Но в системах старше Windows XP журналов можно насчитать несколько десятков и очищать их по очереди нудная задача. Что же можно сделать?

    1. Очистить при помощи PowerShell.

    Для работы нам понадобиться PowerShell 3, который идет в ОС Windows 8 и выше. Запустите PowerShell от имени администратора и командлеты Get-EventLog и Clear-EventLog в результате мы получим записи в очищенном журнале(ах) событие вида "EventId 104 с текстом «The System log file was cleared".
    • Для просмотра списка журналов необходимо использовать следующую конструкцию:
    Код (PowerShell):
    Get-EventLog –LogName *
    upload_2017-8-5_20-5-38.

    • Для удаления конкретного журнала необходимо использовать (System - это имя журнала):
    Код (PowerShell):
    Clear-EventLog –LogName [B]System[/B]
    • Для удаления всех журналов, воспользуемся такой конструкцией:
    Код (PowerShell):
    Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }
    upload_2017-8-5_20-12-14.

    2. При помощи консольной утилиты WevtUtil.exe.

    Консольной, это значит будем использовать тот же PowerShell или классический CMD запущенный от имени администратора. Для просмотра списка журналов используем команды

    Код (PowerShell):
    WevtUtil enum-logs
    или
    Код (PowerShell):
    WevtUtil enum-logs
    Список журналов получается более чем внушительный
    upload_2017-8-5_20-20-37.

    Для очистки всех журналов следует использовать. Очистка может занять какое-то время
    Код (PowerShell):
    Get-WinEvent -ListLog * -Force | % { Wevtutil.exe cl $_.LogName }
    upload_2017-8-5_20-23-24.
    В случае ошибки "Отказано в доступе" попробуйте очистить журнал при помощи консоли Event Viewer.

    Немного информации для гурманов:
    Для очистки конкретного журнала
    Код (PowerShell):
    WevtUtil cl Setup
    Для резервного копирования журнала в файл
    Код (PowerShell):
    WevtUtil cl Setup /bu:SetupLog_Bak.evtx
    3. Очистить при помощи классической командной строки
    Код (Text):
    for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
    По мотивам аналогичной статьи с Заметки IT профессионала
     
    orderman, shestale, Candellmans и 2 другим нравится это.

Поделиться этой страницей