Eventlog журнал событий windows можно ли отключить - Доктор Windows

Содержание

Способ 1: Управление службами
Способ 2: «Редактор локальных групповых политик»
Способ 3: «Редактор реестра»
Вопросы и ответы

Способ 1: Управление службами

За работу «Журнала событий» в Windows 10 отвечает служба «EventLog», и если ее отключить, запись данных в журнал производиться не будет.

Откройте оснастку управления службами, для чего нажмите комбинацию клавиш Win + R и выполните в открывшемся диалоговом окошке команду services.msc.

Отыщите в списке службу «Журнал событий Windows» и откройте ее свойства двойным по ней кликом.

Измените тип запуска службы на «Отключена», сохраните настройки и перезагрузите компьютер.

Способ имеет свои недостатки, так как отключение службы «EventLog» приведет к автоматическому отключению службы сведений о подключенных сетях, что может вызвать проблемы с интернет-соединением.

Способ 2: «Редактор локальных групповых политик»

Отключить запись событий в системный журнал можно также с помощью встроенного «Редактора локальных групповых политик». Этот способ хорош тем, что не отключает саму службу журнала и зависимых от нее служб.

Вызовите нажатием Win + R диалоговое окошко быстрого запуска и выполните в нем команду gpedit.msc.

В левой колонке редактора «GPO» разверните ветку «Конфигурация компьютера» → «Административные шаблоны» → «Компоненты Windows» → «Служба журнала событий» → «Настройка». Откройте двойным кликом свойства политики «Включить ведение журнала».

Активируйте радиокнопку «Отключено» и сохраните настройки.

Готово, больше новые события записываться в «Журнал событий» не будут, а старые можно удалить непосредственно из самого журнала.

Способ 3: «Редактор реестра»

В Windows 10 Home «Редактор локальных групповых политик» по умолчанию отключен, так что для отключения «Журнала событий» придется применять твик реестра.

Откройте выполненной в окошке Win + R командой regedit штатный «Редактор реестра».

Разверните в левой колонке ветку HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindows и создайте в правой колонке из контекстного меню вложенный подраздел «EventLog».

В свою очередь, в нем создайте следующий вложенный подраздел с именем «Setup».

В нем создайте строковый параметр и назовите его «Enabled».

Откройте двойным кликом по параметру окошко редактирования его значения и установите в качестве последнего «0».

Чтобы настройки вступили в силу, перезагрузите компьютер. Ведение системного журнала Windows будет отключено, однако старые записи в нем останутся, как и в случае отключения через «Редактор локальных групповых политик».

Еще статьи по данной теме:

Помогла ли Вам статья?

Источник

If you want to enable or disable Protected Event Logging in Windows 11 and Windows 10, this step-by-step guide helps you go through the process. However, you must include an Encryption certificate if you want to enable Protected Event Logging in Windows 11/10.

For your information, you can turn this setting on or off with the help of the Local Group Policy Editor and Registry Editor. If you want to use the REGEDIT method, don’t forget to backup Registry files first.

Enable or disable Protected Event Logging using Group Policy

To enable or disable Protected Event Logging in Windows 11/10 using Group Policy, follow these steps:

Press Win+R to open the Run prompt.
Type mscand hit the Enter button.
Navigate to Event Logging in Computer Configuration.
Double-click on the Enable Protected Event Logging
Choose the Enabled option.
Enter the encryption certificate.
Click the OK button.

To learn more about these steps, continue reading.

To get started, you need to open the Local Group Policy Editor first. For that, press Win+R to open the Run prompt, type gpedit.msc, and hit the Enter button.

Once it is opened on your screen, navigate to the following path:

Computer Configuration > Administrative Templates > Windows Components > Event Logging

Here you can find a setting called Enable Protected Event Logging on the right-hand side. You need to double-click on this setting and choose the Enabled option.

Then, enter the encryption key in the respective box and click the OK button.

After that, your log data will be encrypted. In case you want to disable or turn off Protected Event Logging in Windows 11/10, you need to open the same setting in the Local Group Policy Editor and choose the Disabled or Not Configured option.

Read: Event Log Manager & Event Log Explorer software.

Turn on or off Protected Event Logging using Registry

To turn on or off Protected Event Logging in Windows 11/10 using Registry, follow these steps:

Press Win+R to display the Run prompt.
Type regedit > press the Enter button > click the Yes
Navigate to Windows in HKLM.
Right-click on Windows > New > Key.
Name it as EventLog.
Right-click on EventLog > New > Key.
Name it as ProtectedEventLogging.
Right-click on ProtectedEventLogging > New > DWORD (32-bit) Value.
Set the name as EnableProtectedEventLogging.
Double-click on it to set the Value data as 1.
Right-click on ProtectedEventLogging > New > Multi-String Value.
Name it as EncryptionCertificate.
Double-click on it to enter the encryption certificate.
Click the OK button.
Reboot your computer.

Let’s check out these steps in detail.

At first, you need to open the Registry Editor on your computer. For that, press Win+R to display the Run dialog > type regedit > hit the Enter button and click on the Yes option.

Once it is opened, navigate to the following path:

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows

Right-click on Windows > New > Key and name it as EventLog. Then, right-click on the EventLog key > New > Key and set the name as ProtectedEventLogging.

Here you need to create one REG_DWORD value and one Multi-String Value. For that, right-click on the ProtectedEventLogging key > New >REG_DWORD value and enter the name as EnableProtectedEventLogging.

Double-click on it to set the Value data as 1 and click the OK button.

Then, right-click on the ProtectedEventLogging key > New > Multi-String Value and set the name as EncryptionCertificate.

Double-click on it to enter the encryption certificate.

Once done, click the OK button and reboot your computer.

If you want to turn off Protected Event Logging using Registry Editor, you need to delete the REG_DWORD value and Multi-String Value.

TIP: Windows Event Viewer Plus is a portable freeware app that lets you view Event Logs faster than the default in-built Windows Event Viewer and also export the Entry to a text file, select the Web Search Button to look up the entry online, to find out more information or troubleshoot errors.

How do I protect Event Logs?

To protect Event Logs on your Windows 11/10 computer, you need to follow the aforementioned guides. There are two ways to do that – using Local Group Policy Editor and Registry Editor. You can follow either method once you have the encryption key.

What are the five types of Event Logs?

For your information, there are five different types of Event Logs – Information, Error, Success Audit, Warning, and Failure Audit. You can encrypt all kinds of Event Logs with the help of the aforementioned tutorials. You can follow the REGEDIT or the GPEDIT method to get the job done.

That’s all! Hope this guide helped.

Read: How to clear the Event Log in Windows.

Источник

Enable or disable Protected Event Logging using Group Policy

To enable or disable Protected Event Logging in Windows 11/10 using Group Policy, follow these steps:

Press Win+R to open the Run prompt.
Type mscand hit the Enter button.
Navigate to Event Logging in Computer Configuration.
Double-click on the Enable Protected Event Logging
Choose the Enabled option.
Enter the encryption certificate.
Click the OK button.

To learn more about these steps, continue reading.

To get started, you need to open the Local Group Policy Editor first. For that, press Win+R to open the Run prompt, type gpedit.msc, and hit the Enter button.

Once it is opened on your screen, navigate to the following path:

Computer Configuration > Administrative Templates > Windows Components > Event Logging

Here you can find a setting called Enable Protected Event Logging on the right-hand side. You need to double-click on this setting and choose the Enabled option.

Then, enter the encryption key in the respective box and click the OK button.

Read: Event Log Manager & Event Log Explorer software.

Turn on or off Protected Event Logging using Registry

To turn on or off Protected Event Logging in Windows 11/10 using Registry, follow these steps:

Press Win+R to display the Run prompt.
Type regedit > press the Enter button > click the Yes
Navigate to Windows in HKLM.
Right-click on Windows > New > Key.
Name it as EventLog.
Right-click on EventLog > New > Key.
Name it as ProtectedEventLogging.
Right-click on ProtectedEventLogging > New > DWORD (32-bit) Value.
Set the name as EnableProtectedEventLogging.
Double-click on it to set the Value data as 1.
Right-click on ProtectedEventLogging > New > Multi-String Value.
Name it as EncryptionCertificate.
Double-click on it to enter the encryption certificate.
Click the OK button.
Reboot your computer.

Let’s check out these steps in detail.

At first, you need to open the Registry Editor on your computer. For that, press Win+R to display the Run dialog > type regedit > hit the Enter button and click on the Yes option.

Once it is opened, navigate to the following path:

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows

Right-click on Windows > New > Key and name it as EventLog. Then, right-click on the EventLog key > New > Key and set the name as ProtectedEventLogging.

Double-click on it to set the Value data as 1 and click the OK button.

Then, right-click on the ProtectedEventLogging key > New > Multi-String Value and set the name as EncryptionCertificate.

Double-click on it to enter the encryption certificate.

Once done, click the OK button and reboot your computer.

If you want to turn off Protected Event Logging using Registry Editor, you need to delete the REG_DWORD value and Multi-String Value.

How do I protect Event Logs?

What are the five types of Event Logs?

That’s all! Hope this guide helped.

Read: How to clear the Event Log in Windows.

Источник

ТВикинариум
Форум
Поддержка
PRO
Войти

Журнал событий WindowsXpucT2020-09-12T18:00:40+03:00

Журнал событий Windows

Имя службы: EventLog
Отображаемое имя: Журнал событий Windows
Состояние: Выполняется
Тип запуска: Автоматически
Зависимости: есть

Описание по умолчанию

Эта служба управляет событиями и журналами событий. Она поддерживает регистрацию и запрос событий, подписку на события, архивацию журналов и управление метаданными событий. События могут отображаться в формате XML и текстовом формате. Остановка этой службы может снизить безопасность и надежность системы.

Нормальное описание

Служба, регистрирующая все события, происходящие в Windows. С помощью этой службы многие другие службы и программы получают актуальные сведения о сбоях программ, сбоях в системе безопасности и прочем. В случае несовместимости программ, ошибок и прочих событий, с помощью Журнала событий Windows, можно выяснить точно, что пошло не так и что с этим делать.

Рекомендации

Учитывая следующее:

От этой службы зависит корректная работа всей Windows
От этой службы зависят десятки других служб

Службу нельзя отключать.

Если вы отключите эту службу, перестанут работать её зависимости. Даже если вы просто остановите эту службу на время, то отвалится Служба сведений о подключенных сетях, из-за которой отвалится Служба списка сетей, что приведёт к отключению службы Автоматическая настройка сетевых устройств.

Если вы видите ошибку, войдите, чтобы исправить.

Источник

Как отключить журнал событий

Операционная система Windows постоянно следит за всеми происходящими в системе событиями, записывая их в лог-файл. Данная информация может помочь в настройке системы, выявлении причин происходящих сбоев. Тем не менее, есть пользователи никогда не заглядывают в логи, поэтому на их компьютерах журнал событий может быть отключен.

Инструкция

Для отключения журнала событий необходимо отключить соответствующую службу. Если вы работаете в операционной системе Windows XP, откройте: «Пуск» – «Панель управления» – «Администрирование» – «Службы». Найдите службу «Журнал событий» (Event log), откройте ее окно, кликнув мышкой по соответствующей строке. Остановка данной службы запрещена, но вы можете изменить тип запуска, выбрав опцию «Отключено». При следующей загрузке компьютера журнал событий не будет запущен.

В операционной системе Windows 7 журнал событий отключается точно так же – найдите в Панели управления «Администрирование» – «Службы» и измените тип запуска сервиса на «Отключено». Журнал событий будет работать до первой перезагрузки системы.

В большинстве случаев пользователи отключают некоторые службы для улучшения производительности компьютера и улучшения его безопасности. По умолчанию в ОС семейства Windows запущены многие службы, не нужные рядовому пользователю, их следует отключить. Например, если вы не собираетесь пользоваться удаленным помощником, отключите службу «Терминал». Если вы не хотите, чтобы кто-то редактировал системный реестр вашего компьютера, отключите службу «Удаленный реестр».

Если вы не синхронизируете системное время компьютера с сервером точного времени, отключите «Службу времени». Не пользуетесь wi-fi – отключите службу «Беспроводная настройка». Самостоятельно заботитесь о поддержании актуальном состоянии антивирусных баз и не нуждаетесь в напоминаниях – отключите «Центр обеспечения безопасности».

В том случае, если вы не собираетесь использовать ваш компьютер в качестве сервера и давать другим пользователям доступ к своим папкам и файлам, отключите службу «Сервер». Не собираетесь входить в систему от имени другого пользователя – отключите «Вторичный вход в систему». Отключив все эти службы, вы сможете увеличить скорость работы компьютера и повысите безопасность при работе в сети.

Войти на сайт

или

Забыли пароль?
Еще не зарегистрированы?

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Источник

Как посмотреть журнал событий в Windows 10

Журнал событий опытные пользователи зачастую используют для решения проблем возникших в операционной системе Windows 10. В журнал событий вносятся данные о всех происходящих событиях в операционной системе. До таких событий относятся информационные сообщения, предупреждения программ, данные о работе пользователей.

Данная статья расскажет как посмотреть, открыть, очистить журнал событий Windows 10. Журнал событий был разработан для опытных пользователей с целью получения возможности полноценного управления операционной системой. Именно поэтому новичкам будет немного сложно разобраться, а системные администраторы легко используют данный инструмент.

Большинство действий пользователя в системе попадают в журнал событий операционной системы. Многие пользователи даже не догадываются о таком инструменте, который также позволяет исправлять множество ошибок. Файлы журнала сохраняются на системном диске по пути: C: Windows System32 winevt Logs. Но не достаточно знать где хранятся данные журнала, поскольку для их просмотра нужно использовать классическое приложение просмотра событий.

Открываем стандартную панель управления выполнив команду control panel в окне Win+R.
Дальше переходим в Администрирование и выбираем Просмотр событий.

К альтернативным способам открытия журнала событий можно отнести запуск классического приложения eventvwr.exe или eventvwr.msc просмотра событий на системном диске по пути: C: Windows system32, а также поиск приложения просмотр событий в окне поиска Windows 10 или же простое выполнение команды eventvwr.msc в окне Win+R.

Как очистить журнал событий в Windows 10

Очистить журнал событий в Windows 10 можно несколькими эффективными способами. До таких способов отнесем выполнение одной команды в командной стройке или же в оболочке Windows PowerShell, а также простое удаление событий прямо с журнала. Новичкам рекомендуем использовать только классическое приложение просмотр событий.

После открытия журнала достаточно нажать правой кнопкой мыши на категорию, журнал которой необходимо очистить и в контекстном меню выбираем пункт Очистить журнал… В открывшемся окне подтверждаем очистку журнала нажав кнопку Очистить.

Командная строка

Запускаем командную строку от имени администратора любым из способов рассмотренных нами ранее.
Копируем, вставляем и выполняем следующую команду: or /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

Windows PowerShell

Запускаем оболочку Windows PowerShell от имени администратора.
Выполняем следующую команду: wevtutil el | Foreach-Object {wevtutil cl «$_»}

Как отключить журнал событий Windows 10

Ранее мы смотрели, как открыть службы в Windows 10. Здесь также есть возможность отключить службу журнала событий Windows 10. И тогда уже после перезагрузки компьютера данные не будут записываться в журнал и пользователь не сможет посмотреть журнал событий в будущем. Поэтому отключать журнал событий не рекомендуется, хоть такая возможность и есть.

Открываем окно служб выполнив команду services.msc в окне Win+R.
Среди списка доступных служб находим Журнал событий Windows и в контекстном меню которого выбираем Свойства.
В открывшемся окне изменяем типу запуска службы EventLog на Отключена и нажмите ОК.

Эта служба управляет событиями журнала событий. Она поддерживает регистрацию и запрос событий, подписку на события, архивацию журналов и управление метаданными событий. После перезапуска компьютера изменения вступят в силу. А именно служба журнала событий не будет запускаться в автоматическом режиме. Обратите внимание, что остановка службы журнала событий Windows может снизить безопасность и надежность системы в целом.

Заключение

Журнал событий для обычного пользователя по сути не нужен. Только человеку хорошо разбирающемся в операционной системе Windows 10 по силе разгадать коды ошибок появляющихся в журнале. Но попытать удачи и посмотреть журнал событий в нужной ситуации может попытаться любой, вдруг действительно это поможет решить проблему в системе.

(3 оценок, среднее: 4,33 из 5)

Администратор и основатель проекта Windd.ru. Интересуюсь всеми новыми технологиями. Знаю толк в правильной сборке ПК. Участник программы предварительной оценки Windows Insider Preview. Могу с лёгкостью подобрать комплектующие с учётом соотношения цены — качества. Мой Компьютер: AMD Ryzen 5 3600 | MSI B450 Gaming Plus MAX | ASUS STRIX RX580 8GB GAMING | V-COLOR 16GB Skywalker PRISM RGB (2х8GB).

Источник

Доброго дня!

Даже если вы за компьютером ничего не делаете — в процессе работы ОС Windows записывает часть данных в спец. документы (их еще называют логами или системными журналами). Как правило, под-запись попадают различные события, например, включение/выключение ПК, возникновение ошибок, обновления и т.д. 👀

Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены… 😢

В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).

Итак…

Работа с журналом событий (для начинающих)

❶

Как его открыть

Вариант 1

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

нажать сочетание кнопок Win+R — должно появиться окно «Выполнить»;
ввести команду eventvwr и нажать OK (примечание: также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню «Файл/новая задача» и ввести ту же команду eventvwr);

eventvwr — команда для вызова журнала событий
после этого у вас должно появиться окно «Просмотр событий» — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows…

Просмотр событий

Вариант 2

сначала необходимо 👉 открыть панель управления и перейти в раздел «Система и безопасность»;

Система и безопасность
далее необходимо перейти в раздел «Администрирование»;

Администрирование
после кликнуть мышкой по ярлыку «Просмотр событий».

Просмотр событий — Администрирование

Вариант 3

Актуально для пользователей Windows 10/11.

1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже). 👇

Windows 10 — события

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

Win+X — вызов меню

❷

Журналы Windows

Журналы Windows

Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:

«Приложение» — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
«Система» — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
«Безопасность» — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).

❸

Как найти и просмотреть ошибки (в т.ч. критические)

Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

И так, сначала необходимо выбрать нужный журнал (например «Система»), далее кликнуть в правой колонке по инструменту «Фильтр текущего журнала».

Система — фильтр текущего журнала / Кликабельно

После указать дату, уровень события (например, ошибки), и нажать OK.

Критические ошибки

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует.

Например, на своем подопытном компьютере я нашел ошибку из-за которой он перезагрузился (благодаря коду ошибки и ее подробному описанию — можно найти решение на сайте Microsoft).

Представлены все ошибки по дате и времени их возникновения / Кликабельно

Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

❹

Можно ли отключить журналы событий

Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск)

Для отключения журналов событий нужно:

открыть «службы» (для этого нажмите Win+R, введите команду services.msc и нажмите OK);

Открываем службы — services.msc (универсальный способ)
далее нужно найти службу «Журнал событий Windows» и открыть ее;

Службы — журналы событий
после перевести тип запуска в режим «отключена» и нажать кнопку «остановить». Затем сохранить настройки и перезагрузить компьютер.

Отключена — остановить

На этом пока всё, удачи!

✌

Первая публикация: 23.03.2019

Корректировка: 14.08.2021

donate

dzen-ya

Полезный софт:

Видео-Монтаж

Отличное ПО для создания своих первых видеороликов (все действия идут по шагам!).
Видео сделает даже новичок!

Ускоритель компьютера

Программа для очистки Windows от «мусора» (удаляет временные файлы, ускоряет систему, оптимизирует реестр).

Источник

На чтение 7 мин. Просмотров 423 Опубликовано 20.01.2021

В мониторе ресурсов Windows 10 я обнаружил, что системный процесс постоянно записывает C: ProgramData Microsoft Windows wfp wfpdiag.etl примерно со скоростью 30–100 КБ/с. Это равно 1 ТБ записи в год, что нехорошо для SSD. Есть и другие записи журнала, такие как C: Windows System32 LogFiles ***.

Хотя журналы необходимы для диагностики, их лучше включать только тогда, когда проблема уже возникла.

Можно ли отключить как можно больше системных журналов, чтобы уменьшить количество мусора, записываемого на SSD?

По умолчанию Windows имеет огромное количество файлов журнала, которые постоянно записывают данные.

Два способа остановить некоторые из этого перемешивания:

Прекратить регистрацию «Успешный аудит» в платформе фильтрации Windows (WFP) , записывать только “Ошибка аудита”

Откройте командную строку CMD как администратор: нажмите Windows , введите cmd , нажмите Ctrl + Shift + Enter и подтвердите.
Введите (или скопируйте/вставьте) следующее и нажмите Enter : auditpol/set/subcategory: "Filtering Platform Connection"/success: disable/failure: enable

Если это удастся, ожидайте, что будет регистрироваться меньше событий.

Отключить отдельные журналы

Откройте средство просмотра событий Windows: нажмите Windows R , введите eventvwr.msc и нажмите Enter .
Прокрутите вниз до Приложение и Журналы обслуживания , Microsoft , Windows , WFP .
Вправо -щелкните процесс журнала и выберите Отключить журнал .

Полезным инструментом для поиска в журналах событий по имени является просмотр полного журнала событий Nirsoft.

Переход на хардкор :

Если вы хотите отключить ведение журнала определенных событий, перейдите в Просмотр событий и вправо -щелкните журнал событий, от которого хотите избавиться. Щелкните Свойства события .

Должно открыться новое окно – щелкните XML-представление , где вы сможете увидеть GUID события. Попробуем найти в реестре сервис регистрации событий на основе этого GUID. Не все события имеют этот GUID, и мы не сможем найти все GUID в реестре.

После того, как у нас есть GUID, мы переходим к HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control WMI Autologger EventLog-System в regedit , и мы ищем наш GUID внутри изогнутых скобок.

Если мы его найдем, то сможем перейти к изменению ключей Enabled и EnabledProperty:

  "Enabled" = dword: 0 "EnableProperty"  = dword: 0

Улучшить этот ответ

ответ дан 07 июля ’20 в 9:09

Вы пропустили шаг, который я не мог понять. Если вы написали «щелкните правой кнопкой мыши журнал событий, от которого хотите избавиться», как определить, какой журнал событий соответствует файлу, в который, как показывает монитор ресурсов, ведется интенсивная запись? (Например: C: Windows System32 LogFiles WMI NetCore.etl) Я не вижу функции поиска в средстве просмотра событий, и мне не удалось найти NetCore.etl. NetCore.etl где-то там – иголка в стоге сена – или это не тот журнал, который отображает Event Viewer? – Долорес Стивенс, 31 июля ’20 в 20:47
Это может быть другой вопрос (или вопросы) сам по себе. В своем ответе я никогда не касался файлов, а только событий. Я думаю, что потребуется некоторая обратная инженерия, чтобы выяснить это, или, по крайней мере, я не знаю способов узнать, какая служба ведения журнала записывает в какой файл. Вы всегда можете зайти в EventViewer и попытаться найти событие, которое соответствует содержимому вашего файла NetCore.etl. – GChuf 02 авг., 12:07
Когда я импортирую NetCore.etl в программу просмотра событий, результирующий список кажется бесполезным: «неизвестные» события и т. д. В блоге (medium.com/palantir/…) мне пришла идея запустить logman.exe: Когда я запустил “logman.exe query NetCore -ets”, в выходных данных было перечислено множество поставщиков: некоторые из них имеют читаемые имена (Network Profile Manager, Microsoft-Windows-SruMon, Network Location Awareness Trace, Microsoft-Windows-NetworkConnectivityStatus), а остальные имеют имена, соответствующие Руководство провайдера. Большинство из них имеют уровень 5 (подробный). – Долорес Стивенс, 02 авг., 17:39
Думаю, я нашел, как записать NetCore.etl на жесткий диск вместо ssd. Я запустил Performance Monitor (приложение для Windows), пробуренный до Data Collector Sets | Сеансы трассировки событий, щелкните правой кнопкой мыши NetCore, щелкните «Свойства», щелкните «Каталог» и перейдите к нужной папке. Я пока не знаю, будет ли это изменение навсегда. Если кто-то хочет полностью остановить запись, то, вероятно, это сделает нажатие кнопки «Стоп» вместо «Свойства», но я еще менее уверен, что это изменение будет постоянным.. какое-то приложение может перезапустить его, возможно, при следующем перезапуске Windows. – Долорес Стивенс 2 авг. ’20 в 18:11

добавить комментарий |

Переход на хардкор :

Если вы хотите отключить определенное событие ведение журнала, перейдите в средство просмотра событий и щелкните правой кнопкой мыши журнал событий, от которого нужно избавиться. Щелкните Свойства события .

Если мы его найдем, мы можем перейти к изменению ключей Enabled и EnabledProperty:

  "Enabled" = dword: 0 "EnableProperty" = dword: 0

Думаю, я понял, как заставить NetCore.etl записывать на жесткий диск вместо ssd . Я запустил Performance Monitor (приложение для Windows), развернулся до Data Collector Sets | Сеансы трассировки событий, щелкните правой кнопкой мыши NetCore, выберите «Свойства» в появившемся меню, щелкните вкладку «Каталог» и перейдите к нужной папке. Время покажет, является ли изменение постоянным, но в настоящий момент журнал записывается на мой жесткий диск E :, согласно Resource Monitor.

Если кто-то хочет остановить написание NetCore.etl полностью, нажатие кнопки «Стоп» вместо «Свойства», вероятно, остановит его . Но я менее уверен, что это изменение будет постоянным. Некоторые приложения могут перезапустить его, возможно, при следующем перезапуске Windows. Если кто-нибудь попробует это сделать, я надеюсь, что он/она опубликует результат в этой ветке.

Аналогичным образом можно перенаправить (или остановить) несколько других файлов журнала.

Улучшить этот ответ

отредактировано 2 августа ’20 в 21 : 53

ответил 02 августа ’20 в 18:22

Я нашел второй способ изменить папку, в которой записан NetCore.etl, с помощью logman.exe с соответствующими параметрами командной строки.. Этот метод имеет большое преимущество перед техникой графического интерфейса монитора производительности, поскольку его можно поместить в файл .bat и запускать при каждом запуске Windows. Сегодня я также узнал, что метод Performance Monitor не меняет папку навсегда, поэтому задача запуска Windows, запускающая logman, – это способ сделать это эффективно. Пример командной строки: «logman update trace NetCore -ets -o E: Windows_System32_LogFiles_WMI NetCore.etl» (без кавычек) – Долорес Стивенс, 15 августа ’20 в 22:26

добавить комментарий |

Думаю, я понял, как заставить NetCore.etl записываться на жесткий диск вместо ssd . Я запустил Performance Monitor (приложение для Windows), развернулся до Data Collector Sets | Сеансы трассировки событий, щелкните правой кнопкой мыши NetCore, выберите «Свойства» в появившемся меню, щелкните вкладку «Каталог» и перейдите к нужной папке. Время покажет, является ли изменение постоянным, но в настоящий момент журнал записывается на мой жесткий диск E :, согласно Resource Monitor.

Аналогичным образом можно перенаправить (или остановить) несколько других файлов журнала.

Источник

Содержание:

1 Где находится журнал событий Windows
2 Как открыть журнал
3 Как использовать содержимое журнала
4 Очистка, удаление и отключение журнала

Даже когда пользователь ПК не совершает никаких действий, операционная система продолжает считывать и записывать множество данных. Наиболее важные события отслеживаются и автоматически записываются в особый лог, который в Windows называется Журналом событий. Но для чего нужен такой мониторинг? Ни для кого не является секретом, что в работе операционной системы и установленных программ могут возникать сбои. Чтобы администраторы могли находить причины таких ошибок, система должна их регистрировать, что собственно она и делает.

Итак, основным предназначением Журнала событий в Windows 7/10 является сбор данных, которые могут пригодиться при устранении неисправностей в работе системы, программного обеспечения и оборудования. Впрочем, заносятся в него не только ошибки, но также и предупреждения, и вполне удачные операции, например, установка новой программы или подключение к сети.

Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.

Хотя эти файлы содержат текстовые данные, открыть их Блокнотом или другим текстовым редактором не получится, поскольку они имеют бинарный формат. Тогда как посмотреть Журнал событий в Windows 7/10, спросите вы? Очень просто, для этого в системе предусмотрена специальная штатная утилита eventvwr.

Как открыть журнал

Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr.msc.

В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой – список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.

Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основных и две дополнительных категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные – «Установка» и «Перенаправленные события».

Категория «Система» содержит события, сгенерированные системными компонентами – драйверами и модулями Windows.

Ветка «Приложения» включает записи, созданные различными программами. Эти данные могут пригодиться как системным администраторам и разработчикам программного обеспечения, так и обычным пользователям, желающим установить причину отказа той или иной программы.

Третья категория событий «Безопасность» содержит сведения, связанные с безопасностью системы. К ним относятся входы пользователей в аккаунты, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам, запуск и остановка процессов и так далее.

Так как число событий может исчисляться тысячами и даже десятками тысяч, в eventvwr предусмотрена возможность поиска и фильтрации событий по свойствам – важности, времени, источнику, имени компьютера и пользователя, коду и так далее. Допустим, вы хотите получить список системных ошибок. Выберите слева Журналы Windows – Система, справа нажмите «Фильтр текущего журнала» и отметьте в открывшемся окне галочкой уровень события – пункты «Ошибка» и «Критическое». Нажмите «OK» и утилита тут же отфильтрует записи.

Чтобы просмотреть конкретную запись, кликните по ней дважды – сведения откроются в окошке «Свойства событий».

Как использовать содержимое журнала

Хорошо, теперь мы в курсе, где находится журнал событий и как его открыть, осталось узнать, как его можно использовать. Сразу нужно сказать, что в силу своей специфичности содержащиеся в нем сведения мало что могут поведать обычному пользователю. О чем говорит, к примеру, ошибка «Регистрация сервера {BF6C1E47-86EC-4194-9CE5-13C15DCB2001} DCOM не выполнена за отведенное время ожидания»? Не обладающему соответствующими знаниями юзеру будет непросто определить причину неполадки, с другой стороны, что мешает поискать ответ в Интернете?

Так, описание приведенной выше ошибки имеется на сайте Microsoft и указывает оно на проблемы со SkyDrive, кстати, не представляющие совершенно никакой угрозы. Если вы не пользуетесь этим сервисом, ошибку можно игнорировать или отключить ее источник в «Планировщике заданий». А еще описание ошибки можно отправить разработчику, предварительно сохранив его в файл XML, CSV или TХT.

Также пользователи могут связывать отслеживаемые события с задачами в «Планировщике заданий». Для этого необходимо кликнуть ПКМ по записи, выбрать «Привязать задачу к событию» и создать с помощью запустившегося мастера нужное задание. В следующий раз, когда произойдет такое событие, система сама запустит выполнение задания.

Очистка, удаление и отключение журнала

На жестком диске файлы журнала занимают сравнительно немного места, тем не менее, у пользователя может возникнуть необходимость их очистить. Сделать это можно разными способами: с помощью оснастки eventvwr, командной строки и PowerShell. Для выборочной очистки вполне подойдет ручной способ. Нужно зайти в журнал событий, кликнуть ПКМ по очищаемому журналу в левой колонке и выбрать в меню опцию «Очистить журнал».

Если вы хотите полностью удалить все записи журнала, удобнее будет воспользоваться запущенной от имени администратора командной строкой. Команда очистки выглядит следующим образом:

for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

Вместо командной строки для быстрой и полной очистки журнала также можно воспользоваться консолью PowerShell. Откройте ее с повышенными правами и выполните в ней такую команду:

wevtutil el | Foreach-Object {wevtutil cl «$_»}

При очистке через PowerShell в журнале могут остаться несколько записей. Это не беда, в крайнем случае события можно удалить вручную.

Итак, мы знаем, как открыть журнал событий, знаем, как его использовать и очищать, в завершение давайте посмотрим, как его полностью отключить, хотя делать это без особой нужды не рекомендуется, так как вместе с журналом событий отключатся некоторые, возможно нужные вам службы.

Командой services.msc откройте оснастку «Службы», справа найдите «Журнал событий Windows», кликните по нему дважды, в открывшемся окошке свойств тип запуска выберите «Отключено», а затем нажмите кнопку «Остановить».

Изменения вступят в силу после перезагрузки компьютера. Вот и все, больше системные и программные события регистрироваться не будут.

Источник