- Сообщения
- 25,353
- Решения
- 9
- Реакции
- 13,852
Журнал событий англ. Event Log — в Microsoft Windows стандартный способ для приложений и операционной системы записи и централизованного хранения информации о важных программных и аппаратных событиях. Служба журналов событий сохраняет события от различных источников в едином журнале событий, программа просмотра событий позволяет пользователю наблюдать за журналом событий, программный интерфейс (API) позволяет приложениям записывать в журнал информацию и просматривать существующие записи.
Иногда (обычно для диагностики, реже для попытки скрыть свою (в том числе неправомерную) активность в системе) журнал событий может быть очищен. Естественно, журнал событий можно очистить и при помощи GUI.
Win+R, набрать Eventvwr.msc, выбрать нужный журнал и вменю (которое вызывается правой клавишей мыши) выбрать "Очистить журнал".
Но в системах старше Windows XP журналов можно насчитать несколько десятков и очищать их по очереди нудная задача. Что же можно сделать?
1. Очистить при помощи PowerShell.
Для работы нам понадобиться PowerShell 3, который идет в ОС Windows 8 и выше. Запустите PowerShell от имени администратора и командлеты Get-EventLog и Clear-EventLog в результате мы получим записи в очищенном журнале(ах) событие вида "EventId 104 с текстом «The System log file was cleared".
2. При помощи консольной утилиты WevtUtil.exe.
Консольной, это значит будем использовать тот же PowerShell или классический CMD запущенный от имени администратора. Для просмотра списка журналов используем команды
или
Список журналов получается более чем внушительный
Для очистки всех журналов следует использовать. Очистка может занять какое-то время
В случае ошибки "Отказано в доступе" попробуйте очистить журнал при помощи консоли Event Viewer.
Немного информации для гурманов:
Для очистки конкретного журнала
Для резервного копирования журнала в файл
3. Очистить при помощи классической командной строки
По мотивам аналогичной статьи с Заметки IT профессионала
Иногда (обычно для диагностики, реже для попытки скрыть свою (в том числе неправомерную) активность в системе) журнал событий может быть очищен. Естественно, журнал событий можно очистить и при помощи GUI.
Win+R, набрать Eventvwr.msc, выбрать нужный журнал и вменю (которое вызывается правой клавишей мыши) выбрать "Очистить журнал".
Но в системах старше Windows XP журналов можно насчитать несколько десятков и очищать их по очереди нудная задача. Что же можно сделать?
1. Очистить при помощи PowerShell.
Для работы нам понадобиться PowerShell 3, который идет в ОС Windows 8 и выше. Запустите PowerShell от имени администратора и командлеты Get-EventLog и Clear-EventLog в результате мы получим записи в очищенном журнале(ах) событие вида "EventId 104 с текстом «The System log file was cleared".
- Для просмотра списка журналов необходимо использовать следующую конструкцию:
PowerShell:
Get-EventLog –LogName *
- Для удаления конкретного журнала необходимо использовать (System - это имя журнала):
PowerShell:
Clear-EventLog –LogName [B]System[/B]
- Для удаления всех журналов, воспользуемся такой конструкцией:
PowerShell:
Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }
2. При помощи консольной утилиты WevtUtil.exe.
Консольной, это значит будем использовать тот же PowerShell или классический CMD запущенный от имени администратора. Для просмотра списка журналов используем команды
PowerShell:
WevtUtil enum-logs
PowerShell:
WevtUtil enum-logs
Список журналов получается более чем внушительный
Для очистки всех журналов следует использовать. Очистка может занять какое-то время
PowerShell:
Get-WinEvent -ListLog * -Force | % { Wevtutil.exe cl $_.LogName }
В случае ошибки "Отказано в доступе" попробуйте очистить журнал при помощи консоли Event Viewer.
Немного информации для гурманов:
Для очистки конкретного журнала
PowerShell:
WevtUtil cl Setup
PowerShell:
WevtUtil cl Setup /bu:SetupLog_Bak.evtx
3. Очистить при помощи классической командной строки
Код:
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
По мотивам аналогичной статьи с Заметки IT профессионала
Последнее редактирование: