0

Как очистить журналы просмотра событий в Windows

Share

В Windows вы можете очистить журналы Event Viewer с помощью команды eventvwr.msc оснастки GUI, из командной строки и с помощью PowerShell.

Содержание:

Удаление сохраненных журналов Windows с помощью графического интерфейса средства просмотра событий

Самый интуитивно понятный способ очистки журналов событий Windows — это использование графической консоли Event Viewer.

  1. Откройте оснастку Event Viewer MMC eventvwr.msc;
  2. Щелкните правой кнопкой мыши на имени журнала и выберите Очистить журнал.просмотрщик событий очистка журнала из графического интерфейса

С помощью этого метода можно быстро удалить все события из определенного журнала.

По умолчанию Windows хранит файлы журналов с именем EVTX расширение в %SystemRoot%\System32\Winevt\Logs\ каталоге.

Файлы журнала EVTX в директории windows %\System32\Winevt\Logs\

Существуют сотни файлов журнала событий, которые используются в Windows различными компонентами операционной системы и сторонними программами. Если вам нужно очистить их все, будет утомительно вручную переходить по всем разделам Event Viewer и очищать каждый журнал. В этом случае лучше использовать PowerShell или командную строку для очистки событий.

Как очистить журналы событий Windows из командной строки

Вы можете воспользоваться командой wevtutil.exe консольный инструмент для очистки журналов Windows из командной строки.

Список журналов Event Viewer, зарегистрированных в Windows:

WevtUtil enum-logs

или используйте более короткую версию:

WevtUtil el

Чтобы удалить все события из определенного журнала, скопируйте его имя и выполните команду:

WevtUtil cl Microsoft-Windows-GroupPolicy/Operational

Перед очисткой можно сделать резервную копию событий журнала в отдельный файл:

WevtUtil cl Microsoft-Windows-GroupPolicy/Operational /bu:GPOLOG_Bak.evtx

Вы можете очистить все журналы Event Viewer из cmd.exe за один раз:

for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"

Для BAT-файла нужно использовать немного другой синтаксис:

for /F "tokens=*" %%1 in ('wevtutil.exe el') DO wevtutil.exe cl "%%1"

Clear-EventLog: Очистка журналов средства просмотра событий с помощью PowerShell

Вы можете использовать команду Get-WinEvent и Clear-EventLog Команды PowerShell для просмотра и очистки журналов событий Windows.

Откройте консоль PowerShell от имени администратора, перечислите все имена журналов в Windows и их настройки:

Get-WinEvent -ListLog *

Get-WinEvent: список журналов средства просмотра событий Windows

Эта команда отображает максимальные размеры и настройки всех журналов Event Viewer в Windows.

Чтобы удалить все события из двух журналов событий (например, из Безопасность и Система журналы), выполните следующую команду:

Clear-EventLog –LogName Security,System

В этом случае журнал будет очищен, а запись с идентификатором EventID 104 или 1102 появляется с указанием времени очистки, пользователя, выполнившего ее, и описанием события:

The System log file was cleared.
The audit log was cleared.

Clear-EventLog -LogName System Файл системного журнала был очищен

Чтобы очистить журналы административных и оперативных событий в Windows, выполните следующую однострочную команду PowerShell:

Get-WinEvent -ListLog * -Force | % { Wevtutil.exe cl $_.Logname }

или:

wevtutil el | Foreach-Object {wevtutil cl "$_"}

Примечание. В этом примере 3 журнала событий не удалось очистить из-за ошибки «Доступ запрещен». Попробуйте очистить эти журналы вручную из оснастки Event Viewer.

очистить все журналы сразу

Tags:

You may also like...

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Technologies
Сайт посвящен системному администрированию и способам решения всевозможных проблем, которые могут возникнуть в процессе эксплуатации операционных систем, в том числе очень редких и сложных.