Windows Как очистить журнал событий Windows

  • Автор темы Автор темы akok
  • Дата начала Дата начала
Может относиться для любой версии Windows

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
25,353
Решения
9
Реакции
13,852
Журнал событий англ. Event Log — в Microsoft Windows стандартный способ для приложений и операционной системы записи и централизованного хранения информации о важных программных и аппаратных событиях. Служба журналов событий сохраняет события от различных источников в едином журнале событий, программа просмотра событий позволяет пользователю наблюдать за журналом событий, программный интерфейс (API) позволяет приложениям записывать в журнал информацию и просматривать существующие записи.

Иногда (обычно для диагностики, реже для попытки скрыть свою (в том числе неправомерную) активность в системе) журнал событий может быть очищен. Естественно, журнал событий можно очистить и при помощи GUI.

Win+R, набрать Eventvwr.msc, выбрать нужный журнал и вменю (которое вызывается правой клавишей мыши) выбрать "Очистить журнал".


1.png


Но в системах старше Windows XP журналов можно насчитать несколько десятков и очищать их по очереди нудная задача. Что же можно сделать?

1. Очистить при помощи PowerShell.

Для работы нам понадобиться PowerShell 3, который идет в ОС Windows 8 и выше. Запустите PowerShell от имени администратора и командлеты Get-EventLog и Clear-EventLog в результате мы получим записи в очищенном журнале(ах) событие вида "EventId 104 с текстом «The System log file was cleared".
  • Для просмотра списка журналов необходимо использовать следующую конструкцию:
PowerShell:
Get-EventLog –LogName *

upload_2017-8-5_20-5-38.png


  • Для удаления конкретного журнала необходимо использовать (System - это имя журнала):
PowerShell:
Clear-EventLog –LogName [B]System[/B]

  • Для удаления всех журналов, воспользуемся такой конструкцией:
PowerShell:
Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }
upload_2017-8-5_20-12-14.png


2. При помощи консольной утилиты WevtUtil.exe.

Консольной, это значит будем использовать тот же PowerShell или классический CMD запущенный от имени администратора. Для просмотра списка журналов используем команды

PowerShell:
WevtUtil enum-logs
или
PowerShell:
WevtUtil enum-logs

Список журналов получается более чем внушительный
upload_2017-8-5_20-20-37.png


Для очистки всех журналов следует использовать. Очистка может занять какое-то время
PowerShell:
Get-WinEvent -ListLog * -Force | % { Wevtutil.exe cl $_.LogName }
upload_2017-8-5_20-23-24.png

В случае ошибки "Отказано в доступе" попробуйте очистить журнал при помощи консоли Event Viewer.

Немного информации для гурманов:
Для очистки конкретного журнала
PowerShell:
WevtUtil cl Setup
Для резервного копирования журнала в файл
PowerShell:
WevtUtil cl Setup /bu:SetupLog_Bak.evtx

3. Очистить при помощи классической командной строки
Код:
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"

По мотивам аналогичной статьи с Заметки IT профессионала
 
Последнее редактирование:
Назад
Сверху Снизу