Содержание
- Способ 1: Управление службами
- Способ 2: «Редактор локальных групповых политик»
- Способ 3: «Редактор реестра»
- Вопросы и ответы
Способ 1: Управление службами
За работу «Журнала событий» в Windows 10 отвечает служба «EventLog», и если ее отключить, запись данных в журнал производиться не будет.
- Откройте оснастку управления службами, для чего нажмите комбинацию клавиш Win + R и выполните в открывшемся диалоговом окошке команду
services.msc
. - Отыщите в списке службу «Журнал событий Windows» и откройте ее свойства двойным по ней кликом.
- Измените тип запуска службы на «Отключена», сохраните настройки и перезагрузите компьютер.
Способ имеет свои недостатки, так как отключение службы «EventLog» приведет к автоматическому отключению службы сведений о подключенных сетях, что может вызвать проблемы с интернет-соединением.
Способ 2: «Редактор локальных групповых политик»
Отключить запись событий в системный журнал можно также с помощью встроенного «Редактора локальных групповых политик». Этот способ хорош тем, что не отключает саму службу журнала и зависимых от нее служб.
- Вызовите нажатием Win + R диалоговое окошко быстрого запуска и выполните в нем команду
gpedit.msc
. - В левой колонке редактора «GPO» разверните ветку «Конфигурация компьютера» → «Административные шаблоны» → «Компоненты Windows» → «Служба журнала событий» → «Настройка». Откройте двойным кликом свойства политики «Включить ведение журнала».
- Активируйте радиокнопку «Отключено» и сохраните настройки.
Готово, больше новые события записываться в «Журнал событий» не будут, а старые можно удалить непосредственно из самого журнала.
Способ 3: «Редактор реестра»
В Windows 10 Home «Редактор локальных групповых политик» по умолчанию отключен, так что для отключения «Журнала событий» придется применять твик реестра.
- Откройте выполненной в окошке Win + R командой
regedit
штатный «Редактор реестра». - Разверните в левой колонке ветку
HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindows
и создайте в правой колонке из контекстного меню вложенный подраздел «EventLog». - В свою очередь, в нем создайте следующий вложенный подраздел с именем «Setup».
- В нем создайте строковый параметр и назовите его «Enabled».
- Откройте двойным кликом по параметру окошко редактирования его значения и установите в качестве последнего «0».
Чтобы настройки вступили в силу, перезагрузите компьютер. Ведение системного журнала Windows будет отключено, однако старые записи в нем останутся, как и в случае отключения через «Редактор локальных групповых политик».
Еще статьи по данной теме:
Помогла ли Вам статья?
Вы знаете, что ОС Windows оснащена функцией, которая регистрирует все что происходит за ПК. Записывает данные в Журнал событий, даже если пользователь ничего не делал. В нем отображаются ошибки и предупреждения. Рассмотрим подробно как отрыть посмотреть и очистить Журнал событий Windows 10.
Содержание
- Что это такое
- Где используется
- Журнал событий Windows 10 где находится
- Как открыть
- Другой способ
- Как работать
- Как очистить
- Выборочная очистка
- Очищаем Журнал событий Windows 10 через cmd (командную строку)
- Приложение CCleaner
- Журнал событий Windows 10 отключить
- Вывод
Что это такое
Журнал событий Виндовс (Windows) 10 — функция, позволяющая просматривать все действия, происходящие в ОС. Записываются сообщения, ошибки работы драйверов, приложений и программ в лог, который называется Журналом событий.
Где используется
Просмотр сообщений помогает найти слабые проблемы в защите устройства. Это полезно для серверов. Основное предназначение — сбор информации для устранения неисправностей.
Это файлы расширением «EVTX». Находится по адресу:
Содержание файлов — текстовая информация. Только открыть их текстовым редактором не выйдет. Они содержат бинарный формат. Для просмотра используется утилита «eventvwr».
Как открыть
Для запуска нажмите «Win+R», пропишите «control».
Далее:
Другой способ
Нажмите (Win+R), пропишите «eventvwr.msc».
Откроется окно утилиты. Слева расположены журналы:
- приложений;
- служб;
- подписки.
Средняя колонка отображает события. Правая — действия. Ниже — сведения о выбранной записи.
Работа происходит с разделом «Журналы», в который входят такие категории:
- Система. Содержит действия, которые созданы драйверами и модулями ОС;
- Установка;
- Безопасность. Информация о входе в аккаунты, учетные записи, доступ к файлам, установки процессов;
- Приложение. Информация про ошибки, созданные установленным софтом. Используются чтобы найти причину неработоспособности приложений;
- Перенаправление.
Событий в системе исчисляется десятками тысяч. Поэтому утилита для удобства предоставляет поиск по времени, коду источнику. Например, как увидеть системные ошибки? Нажмите по ссылке «Фильтр».
Отметьте пункты как на скриншоте:
Утилита отфильтрует записи.
Просмотрите сообщение:
Как работать
Пока ПК работает без сбоев Журнал событий в Windows 10 не нужен. Используется при появлении проблем с ПК: перезагрузка, Синий экран. Журнал в (Windows) 10 информирует о причинах сбоев.
Выберите ошибку. Посмотрите информацию о нее. Например: «Активация для приложения COM-сервера с CLSID {D64B11C6-BB46-4980-A93F-E41B9D520250}».
Скопируйте ее, посмотрите информацию в интернет. В этом примере ошибка говорит о необходимости обновления.
Как очистить
Утилита записывает мегабайты информации о работе ОС, отправляет их на сервер Microsoft не удаляя из системы. Они сохраняются на HDD. Чтобы удалить, используются такие способы:
- Выборочное удаление;
- Удалить используя Командную строку;
- Использование стороннего софта.
Рассмотрим их подробнее.
Выборочная очистка
Откройте утилиту, выполните действия как на скриншоте:
Очищаем Журнал событий Windows 10 через cmd (командную строку)
Нажмите «Win+X», далее:
Пропишите команду:
Приложение CCleaner
Откройте программу. В разделе «Очистка» отметьте пункт «Файлы». Нажмите кнопки «Анализ», потом «Очистка».
Подробнее о работе приложения смотрите в статье: «Очистка ПК».
Журнал событий Windows 10 отключить
Нажмите «Win+R», пропишите команду «services.msc».
Найдите «Журнал». Далее:
Изменения активируются после перезагрузки.
Вывод
Журнал событий работает в фоновом режиме и нагружает CPU. Рекомендую отключить его. Вреда для ОС от это действия не будет.
If you want to enable or disable Protected Event Logging in Windows 11 and Windows 10, this step-by-step guide helps you go through the process. However, you must include an Encryption certificate if you want to enable Protected Event Logging in Windows 11/10.
For your information, you can turn this setting on or off with the help of the Local Group Policy Editor and Registry Editor. If you want to use the REGEDIT method, don’t forget to backup Registry files first.
Enable or disable Protected Event Logging using Group Policy
To enable or disable Protected Event Logging in Windows 11/10 using Group Policy, follow these steps:
- Press Win+R to open the Run prompt.
- Type mscand hit the Enter button.
- Navigate to Event Logging in Computer Configuration.
- Double-click on the Enable Protected Event Logging
- Choose the Enabled option.
- Enter the encryption certificate.
- Click the OK button.
To learn more about these steps, continue reading.
To get started, you need to open the Local Group Policy Editor first. For that, press Win+R to open the Run prompt, type gpedit.msc, and hit the Enter button.
Once it is opened on your screen, navigate to the following path:
Computer Configuration > Administrative Templates > Windows Components > Event Logging
Here you can find a setting called Enable Protected Event Logging on the right-hand side. You need to double-click on this setting and choose the Enabled option.
Then, enter the encryption key in the respective box and click the OK button.
After that, your log data will be encrypted. In case you want to disable or turn off Protected Event Logging in Windows 11/10, you need to open the same setting in the Local Group Policy Editor and choose the Disabled or Not Configured option.
Read: Event Log Manager & Event Log Explorer software.
Turn on or off Protected Event Logging using Registry
To turn on or off Protected Event Logging in Windows 11/10 using Registry, follow these steps:
- Press Win+R to display the Run prompt.
- Type regedit > press the Enter button > click the Yes
- Navigate to Windows in HKLM.
- Right-click on Windows > New > Key.
- Name it as EventLog.
- Right-click on EventLog > New > Key.
- Name it as ProtectedEventLogging.
- Right-click on ProtectedEventLogging > New > DWORD (32-bit) Value.
- Set the name as EnableProtectedEventLogging.
- Double-click on it to set the Value data as 1.
- Right-click on ProtectedEventLogging > New > Multi-String Value.
- Name it as EncryptionCertificate.
- Double-click on it to enter the encryption certificate.
- Click the OK button.
- Reboot your computer.
Let’s check out these steps in detail.
At first, you need to open the Registry Editor on your computer. For that, press Win+R to display the Run dialog > type regedit > hit the Enter button and click on the Yes option.
Once it is opened, navigate to the following path:
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows
Right-click on Windows > New > Key and name it as EventLog. Then, right-click on the EventLog key > New > Key and set the name as ProtectedEventLogging.
Here you need to create one REG_DWORD value and one Multi-String Value. For that, right-click on the ProtectedEventLogging key > New >REG_DWORD value and enter the name as EnableProtectedEventLogging.
Double-click on it to set the Value data as 1 and click the OK button.
Then, right-click on the ProtectedEventLogging key > New > Multi-String Value and set the name as EncryptionCertificate.
Double-click on it to enter the encryption certificate.
Once done, click the OK button and reboot your computer.
If you want to turn off Protected Event Logging using Registry Editor, you need to delete the REG_DWORD value and Multi-String Value.
TIP: Windows Event Viewer Plus is a portable freeware app that lets you view Event Logs faster than the default in-built Windows Event Viewer and also export the Entry to a text file, select the Web Search Button to look up the entry online, to find out more information or troubleshoot errors.
How do I protect Event Logs?
To protect Event Logs on your Windows 11/10 computer, you need to follow the aforementioned guides. There are two ways to do that – using Local Group Policy Editor and Registry Editor. You can follow either method once you have the encryption key.
What are the five types of Event Logs?
For your information, there are five different types of Event Logs – Information, Error, Success Audit, Warning, and Failure Audit. You can encrypt all kinds of Event Logs with the help of the aforementioned tutorials. You can follow the REGEDIT or the GPEDIT method to get the job done.
That’s all! Hope this guide helped.
Read: How to clear the Event Log in Windows.
If you want to enable or disable Protected Event Logging in Windows 11 and Windows 10, this step-by-step guide helps you go through the process. However, you must include an Encryption certificate if you want to enable Protected Event Logging in Windows 11/10.
For your information, you can turn this setting on or off with the help of the Local Group Policy Editor and Registry Editor. If you want to use the REGEDIT method, don’t forget to backup Registry files first.
Enable or disable Protected Event Logging using Group Policy
To enable or disable Protected Event Logging in Windows 11/10 using Group Policy, follow these steps:
- Press Win+R to open the Run prompt.
- Type mscand hit the Enter button.
- Navigate to Event Logging in Computer Configuration.
- Double-click on the Enable Protected Event Logging
- Choose the Enabled option.
- Enter the encryption certificate.
- Click the OK button.
To learn more about these steps, continue reading.
To get started, you need to open the Local Group Policy Editor first. For that, press Win+R to open the Run prompt, type gpedit.msc, and hit the Enter button.
Once it is opened on your screen, navigate to the following path:
Computer Configuration > Administrative Templates > Windows Components > Event Logging
Here you can find a setting called Enable Protected Event Logging on the right-hand side. You need to double-click on this setting and choose the Enabled option.
Then, enter the encryption key in the respective box and click the OK button.
After that, your log data will be encrypted. In case you want to disable or turn off Protected Event Logging in Windows 11/10, you need to open the same setting in the Local Group Policy Editor and choose the Disabled or Not Configured option.
Read: Event Log Manager & Event Log Explorer software.
Turn on or off Protected Event Logging using Registry
To turn on or off Protected Event Logging in Windows 11/10 using Registry, follow these steps:
- Press Win+R to display the Run prompt.
- Type regedit > press the Enter button > click the Yes
- Navigate to Windows in HKLM.
- Right-click on Windows > New > Key.
- Name it as EventLog.
- Right-click on EventLog > New > Key.
- Name it as ProtectedEventLogging.
- Right-click on ProtectedEventLogging > New > DWORD (32-bit) Value.
- Set the name as EnableProtectedEventLogging.
- Double-click on it to set the Value data as 1.
- Right-click on ProtectedEventLogging > New > Multi-String Value.
- Name it as EncryptionCertificate.
- Double-click on it to enter the encryption certificate.
- Click the OK button.
- Reboot your computer.
Let’s check out these steps in detail.
At first, you need to open the Registry Editor on your computer. For that, press Win+R to display the Run dialog > type regedit > hit the Enter button and click on the Yes option.
Once it is opened, navigate to the following path:
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows
Right-click on Windows > New > Key and name it as EventLog. Then, right-click on the EventLog key > New > Key and set the name as ProtectedEventLogging.
Here you need to create one REG_DWORD value and one Multi-String Value. For that, right-click on the ProtectedEventLogging key > New >REG_DWORD value and enter the name as EnableProtectedEventLogging.
Double-click on it to set the Value data as 1 and click the OK button.
Then, right-click on the ProtectedEventLogging key > New > Multi-String Value and set the name as EncryptionCertificate.
Double-click on it to enter the encryption certificate.
Once done, click the OK button and reboot your computer.
If you want to turn off Protected Event Logging using Registry Editor, you need to delete the REG_DWORD value and Multi-String Value.
TIP: Windows Event Viewer Plus is a portable freeware app that lets you view Event Logs faster than the default in-built Windows Event Viewer and also export the Entry to a text file, select the Web Search Button to look up the entry online, to find out more information or troubleshoot errors.
How do I protect Event Logs?
To protect Event Logs on your Windows 11/10 computer, you need to follow the aforementioned guides. There are two ways to do that – using Local Group Policy Editor and Registry Editor. You can follow either method once you have the encryption key.
What are the five types of Event Logs?
For your information, there are five different types of Event Logs – Information, Error, Success Audit, Warning, and Failure Audit. You can encrypt all kinds of Event Logs with the help of the aforementioned tutorials. You can follow the REGEDIT or the GPEDIT method to get the job done.
That’s all! Hope this guide helped.
Read: How to clear the Event Log in Windows.
Windows 10 является последней обновленной версией из серии операционных систем от корпорации Microsoft. ОС поддерживает встроенную подсистему Linux. Это позволяет работать с широким арсеналом файлов разных форматов. Windows сборка NT 10.0 (2015-2019) отличается от предыдущих версий функциональностью и дополнительными возможностями. Например, в ней присутствует специальный блок – «Журнал ошибок», в котором записываются ошибки и исправления, наблюдаемые при работе программ. Компьютер анализирует и устраняет (исправляет) возникшие проблемы и сохраняет запись о причине сбоя в этом ресурсе. Это важная утилита является частью встроенного в ОС средства «Просмотр событий».
Системный журнал Windows 10 используется для просмотра разной информации о работе приложений и других важных действиях, совершенных в процессе работы компьютера. Здесь отображаются данные о неполадках, возникших в ОС или сторонних программах.
Логотип компании Microsoft Windows
В консоли выделяются 4 вида событий:
- ошибка;
- сведения;
- критические события;
- предупреждения.
При каждом сбое появляется новая запись, чтобы в дальнейшем пользователь смог проверить его причину.
Доступ в интернет есть, но ошибка остаётся
Такая ситуация вполне может быть. Причины могут быть разными — чаще всего при подключении через прокси-сервер. Однако решение одно. Нажмите Win+R, введите gpedit.msc — так вы попадёте редактор локальных групповых политик. В меню слева переходите по пунктам: Политика «Локальный Компьютер» — Конфигурация компьютера — Административные шаблоны — Система — Управление связью через Интернет — Параметры связи через Интернет. Теперь, в правой части окна найдите и включите «Отключить активное зондирование для индикатора состояние сетевого подключения». В Windows 10 этот параметр называется «Отключить активные проверки работоспособности сетевых подключений». Учтите тот факт, что теперь даже при действительно отсутствующем подключении сообщение появляться не будет.
Где находится журнал событий Windows
Журнал событий Windows 7 — как открыть лог
Запускать журнал Windows 10 можно разными методами. В основном используются системные инструменты, либо же его открывают ручным способом при помощи файла программы на диске.
Способ 1. Диалоговое Окно «Выполнить»
В журнал событий на Windows 10 можно зайти через диалоговое окно «Выполнить». Комбинация клавиш WIN + R позволяет открыть командную строку, или для запуска утилиты используется меню Пуск. На соответствующей вкладке вводится команда: «eventvwr.msc». Когда действия подтверждены кнопкой «ОК», открывается журнал событий.
Способ 2. Активировать командной строкой в пункте «Справка»
Чтобы открыть журнал действий Windows 10 через раздел Справки, на рабочем столе (пустое окно) нажимают кнопку F1. Через открывшееся окно переходят в раздел «Указатель», в строке поиска вписывают «Журнал событий» и нажимают «Показать». Служба поможет перейти в журнал через информационное окно.
Важно! При переходе через раздел «Справка и поддержка» пользователь должен самостоятельно выбрать соответствующую вкладку в дополнительном окне, потому что там отображается полная информация о компонентах OS.
Способ 3. Использование панели управления ОС
Через основную панель можно открывать разные утилиты, необходимые для настройки и управления функционалом программного обеспечения. Переход на панель управления осуществляется как через меню Пуск, так и при помощи диалогового окна «Выполнить» (WIN+R). В командной строке нужно указать слово «control» и нажать «ОК» для подтверждения команды.
На появившейся вкладке требуется найти раздел «Администрирование». Далее на экране отобразится список, где находится журнал приложений Windows 10. Там можно просмотреть записанные события, касающиеся работы программ.
Способ 4. Журнал событий Windows 10 – как открыть через PowerShell
В поле Поиска в Виндовс вводится слово PowerShell. В списке результатов выбирается соответствующая команда. Дальше нужно указать команду Get-WindowsUpdateLog и нажать на кнопку Enter. Когда появится уведомление «Команда выполнена успешно», запущенный раздел откроется.
Важно! Созданный на рабочем столе файл просматривается программой «Блокнот» (открыть с помощью – выбор программы вручную – Блокнот).
Способ 5. Поиск по Windows
Операционная система поддерживает функцию поиска для быстрого запуска приложений. На панели задач имеется иконка для активации поисковой службы Windows. Запуск утилиты происходит при помощи одновременного нажатия кнопок WIN + S.
На открывшейся строке нужно ввести Просмотр событий. Дальше в окне результатов следует найти журнал и запустить его.
Как открыть?
Найти и открыть журнал событий достаточно просто, для этого необходимо в поиске Windows 10 ввести словосочетание «Просмотр событий» и щелкнуть по нему. Но в случае если у вас деактивировано индексирование, то это попытка не принесет результата.
И как вариант можно:
- Войти в «Панель управления» и зайти в раздел «Администрирование». Здесь и будет находиться нужный нам пункт.
Вся информация будет разделена на соответствующие группы. Например, открыв журнал приложений, у вас будет возможность просмотреть все сообщения о работе программ. Абсолютно все системные происшествия, связанные с Виндовс 10, отображаются в нем.
Изначально данная служба разрабатывалась исключительно для администраторов, которые постоянно ведут мониторинг состояния серверов, выявляют ошибки и причины появления, и после чего пытаются быстро их устранить.
Не пугайтесь, если ваше устройство работает исправно, но в журнале есть предупреждения об ошибках, ведь это нормальное явление для ОС. Любые сбои, в том числе незначительные, вносятся в реестр, поэтому не стоит переживать.
Как создать ярлык для быстрого запуска журнала
Если приходится часто обращаться к системному журналу событий, то лучше всего создать ярлык на рабочем столе. Чтобы выполнить эту задачу:
- необходимо перейти на «Панель управления» Windows (меню «Пуск», поиск F3 или окно «Выполнить»);
- на панели задач открыть вкладку «Администрирование»;
- в открывшемся окне одним кликом мыши о;
- нажатием правой кнопки мышки запустить контекстное меню;
- выбрать вариант «Отправить»;
- в появившемся дополнительном меню выбрать команду – создать ярлык на Рабочий стол.
Журнал ошибок Windows 10 — как посмотреть отчет
После совершения этих операций на рабочем столе появится ярлык для быстрого запуска соответствующего приложения. Двойным нажатием ЛКМ на созданном ярлыке его можно быстро открыть.
На заметку! Чтобы решить вопрос, как быстро открыть журнал на Виндовс 10, нужно создать постоянный доступ к нему на десктопе
Просмотр журнала событий на удалённом компьютере
Для просмотра событий на Windows 10 есть приложение Event Viewer, которое встроено в систему. Данная утилита и компоненты командного меню Wevtutil позволяют управлять журналом на удаленном ПК.
Брандмауэр Windows 7: как открыть, настроить, отключить
Удаленное управление включается из самого раздела «Просмотр событий». Запускается дерево консоли с выбором корневого элемента: Просмотр событий – локальные. В разделе «Действия» указывают команду «Подключиться к другому ПК». В соответствующем поле вводится название или IP-адрес компьютера для удаленного подключения.
Дополнительная информация. Дальше перед надписью «Подключиться в качестве другого пользователя» нужно поставить галочку. После открытия нового окна при помощи заполнения соответствующих полей задаются имя пользователя и пароль. Выполненные действия необходимо подтвердить клавишей «ОК».
Wevtutil запускается вводом команды cmd в поле поиска. В командной строке указывается wevtutil/r:. Если требуется подключение в качестве другого пользователя, то вписывается команда: wevtutil/r:/u:/p:.
Важно! Чтобы получить удаленный доступ к журналу событий, на брандмауэре другого компьютера должно быть установлено исключение на безопасность доступа типа «Удаленное управление журналом событий». Иначе брандмауэр заблокирует путь.
Активацию функции «Просмотр событий» с удаленным подключением к другому ПК можно выполнить при помощи подтверждения команды: eventvwr.
Таким образом просматривают настраиваемые модули, ссылки и остальные ресурсы на локальном ПК.
Что значат записи лога разных типов
На Windows 10 сохраняется значительное количество логов, которые могут быть полезны для специалистов IT, программистов и технической поддержки. Это позволяет им устранять неполадки и сбои в работе программ.
В блоке производится запись логов по 4 критериям:
- Отображение критических событий позволяет решать проблему при помощи приведенной информации. Например, критическая ошибка возникла из-за неправильного выключения ПК. Значит для устранения этой проблемы достаточно правильно отключать компьютер.
- Узнать причину ошибок в журнале можно кликом по ЛКМ над записью. Ошибки отображаются с кодом события. Если по отображенным данным не удалось понять причину, то задается поиск в интернете с указанием кода.
- Сведения появляются тогда, когда в ПК инсталлировали или обновляли приложения. В уведомлении присутствуют данные о ресурсах восстановления системы в случае необходимости.
- Предупреждения фиксируются при неудачной попытке программ подключиться к серверу DNS. Эти сообщения необходимо игнорировать. Но при регулярном отображении предупреждающего сигнала рекомендуется узнать причину через события в журнале.
Запись производится при возникновении таких фактов, как:
- перезагрузка компьютера;
- восстановление;
- синий экран.
Проблема № 4 (критическая). Невозможно отследить создание каталога и ключа реестра
Наличие проблемы подтверждено на Windows 7/10/Server 2021.
Описание проблемы
Windows не позволяет отследить создание каталога файловой системы и ключа реестра. Это заключается в том, что операционная система не генерирует событие, в котором содержалось бы имя создаваемого каталога или ключа реестра, и параметры которого указывали бы на то, что это именно операция создания.
Теоретически по косвенным признакам выявить факт создания каталога возможно. Например, если он создавался через «Проводник», то в процессе создания будут сгенерированы события опроса атрибутов нового каталога. Проблема в том, что если создать каталог через команду mkdir, то вообще никакие события не генерируются. Всё то же самое справедливо и для создания ключей в реестре.
В чем суть проблемы?
Эта проблема существенно затрудняет проведение расследований инцидентов информационной безопасности. Нет никаких разумных объяснений тому, что в журналах не фиксируется данная информация.
Очистка, удаление и отключение журнала
Утилитой для записи событий в ПК можно управлять при помощи системных опций и настроек. Ее следует отключать, удалять или очищать для освобождения места в памяти.
Пользователь может задать параметры для регулярной очистки в течение определенного времени. Также историю в функционале можно удалить ручным способом.
На заметку! Если вовремя не очистить журнал, он переполняется, занимая память устройства. В результате этого загрузка системы при запуске ПК не происходит. Вот почему, пользователи часто ищут ответ на вопрос, как отключить журнал действий на Windows-10.
Способы очистки журнала
Есть несколько способов, позволяющих очистить журнал событий:
- Вход в систему командной строкой осуществляется правами Администратора. Затем вводится команда: for/F»tokens=*»%1 in (‘wevtutil.exe el’) DOwevtutil.exe cl «%1». Нажатие клавиши Enter подтверждает действия пользователя. После завершения процедуры вкладку закрывают. Систему желательно перезагрузить заново.
- PowerShell помогает удалять записи. Открывается утилита системной службой поиска. В поисковом поле вписывается надпись «powershell», и из появившегося списка запускают функционал. Ввод команды Get-EventLog -LogName* | ForEach { Clear-EventLog $_.Log} в соответствующем разделе позволяет удалить данные.
- Записи удаляют при помощи открытия утилиты «Просмотр событий». Вначале правой кнопкой мыши открывается контекстное меню. Там есть опция «Очистить журнал». Удалять данные с сохранением копии можно после выбора команды «Очистить и сохранить». Очистка успешно запускается как в полном, так и в выборочном варианте.
- В каждом журнале доступна панель «Действия», в ней есть функция «Фильтровать текущий журнал». Запуск фильтра позволяет удалять ненужную информацию.
Важно! Фильтрация работает в автоматическом режиме. Поэтому лучше установить таймер на определенный срок, и система самостоятельно выполнит очистку в нужное время.
Как отключить журнал событий
В командной строке окна «Выполнить» указывают: services.msc и нажимают на Enter (мышью «ОК»). В отображаемом списке находят надпись «Журнал». В контекстном меню активируют команду «Отключить».
В разделе «Администрирование» есть пункт «Службы». После его открытия появляется список запущенных служб. Там следует найти нужную функцию и нажать мышкой. Затем в появившемся окне выбрать раздел «Общие». В строке с надписью «Тип запуска» выбирают команду «Отключено».
На заметку! Чтобы изменения вступили в силу, ПК необходимо перезагрузить. Утилита функционирует в фоновом режиме, поэтому не влияет на работу ОС.
Удаление журнала событий
Удалять системный журнал необязательно, достаточно фильтровать или очищать его время от времени. Но, если все-таки требуется ликвидировать этот пункт, то более безопасный способ – это использование команды PowerShell Remove-EventLog. Таким методом журнал стирается с локального или удаленного компьютера.
Важно! Для полного удаления в строке команд указывают лог: Remove-EventLog -LogName «MyLog».
Журнал событий – важный функционал ОС на Windows 10. Благодаря ему в системе сохраняются записи об ошибках в работе разных программ. Там же содержится информация о причинах этих ошибок. Изучение способов открытия журнала и возможностей для удаления из него ненужной информации поможет быстро устранять серьезные ошибки в работе ПК.
Проблема № 5 (критическая). Сбойные параметры аудита в русских версиях Windows
Наличие проблемы подтверждено на русских редакциях Windows 7/10/Server 2021.
Описание проблемы
В русских версиях Windows есть ошибка, приводящая систему управления аудитом безопасности в нерабочее состояние.
Симптомы
Изменение расширенных политик безопасности не оказывает никакого влияния на эффективные параметры аудита, или, другими словами, политики не применяются. Например, администратор активировал подкатегорию «Вход в систему», перезагрузил систему, запускает команду auditpol /get /category:*, а данная подкатегория остается не активной. Проблема актуальна как для доменных компьютеров, управляемых через групповые политики, так и для не доменных, управляемых с помощью локального объекта групповой политики, конфигурируемого через оснастку «Локальные политики безопасности».
Причины
Проблема возникает, если администратор активировал хотя бы одну из «сбойных» подкатегорий расширенных политик аудита. К подобным сбойным категориям, в частности, относятся:
- Использование прав —> Аудит использования прав, затрагивающих конфиденциальные данные. GUID: {0cce9228-69ae-11d9-bed3-505054503030}.
- Использование прав —> Аудит использования прав, не затрагивающих конфиденциальные данные. GUID: {0cce9229-69ae-11d9-bed3-505054503030}.
- Доступ к объектам —> Аудит событий, создаваемых приложениями. GUID:{ 0cce9222-69ae-11d9-bed3-505054503030}.
Рекомендации по решению проблемы
Если проблема еще не произошла, то не активируйте указанные «сбойные» подкатегории. Если события этих подкатегорий очень нужны, то пользуйтесь утилитой auditpol для их активации или же управляйте аудитом с помощью базовых политик.
Если проблема произошла, то необходимо:
- Из каталога доменной групповой политики удалить файл Machinemicrosoftwindows ntAuditaudit.csv
- Со всех компьютеров, на которых были выявлены проблемы с аудитом, удалить файлы: %SystemRoot%securityauditaudit.csv, %SystemRoot%System32GroupPolicyMachineMicrosoftWindows NTAuditaudit.csv
В чем суть проблемы?
Наличие данной проблемы уменьшает количество событий безопасности, которые можно контролировать штатным образом через расширенные политики аудита, а также создает угрозы отключения, блокирования и дестабилизации управления системой аудита в корпоративной сети.
Системный журнал событий (он же «Просмотр событий» или «Event Viewer») в Windows 10 – это один из самых важных инструментов в операционной системе, к которому прибегают не все пользователи, а зря. Ведь он помогает показать все важные ивенты, которые происходят как с самой ОС, так и с установленными программами. В таком случае даже неопытный пользователь может легко найти решение по конкретной проблеме, так как в нем сохраняются все логи ошибок. Ну или хотя бы «загуглить» информацию, которая уже поможет.
Далее я расскажу, как открыть журнал событий (ошибок), создать ярлык на рабочем столе или отключить службу. На самом деле инструкции почти ничем не отличаются и от других версий «Окон», поэтому вы можете пользоваться ею всегда. Если в процессе возникнут какие-то вопросы (в том числе по ошибкам, которые вы найдете), то смело обращайтесь ко мне в комментариях, и я вам постараюсь помочь. Поехали!
Содержание
- Способ 1: Панель управления и создание ярлыка для быстрого доступа
- Способ 2: Выполнить
- Способ 3: Поиск
- Способ 4: Прямой запуск
- Можно ли отключить журнал событий и как это сделать?
- Задать вопрос автору статьи
Способ 1: Панель управления и создание ярлыка для быстрого доступа
Если ранее её можно было вызвать с помощью правой кнопки по кнопке «Пуск», то почему-то разработчики в данный момент её оттуда убрали. Переживать не стоит, её полностью убирать не будут, но сам факт достаточно странный. Поэтому мы воспользуемся другим методом.
- Открываем «Панель управления». Это можно сделать двумя способами. Первый – зажимаем вспомогательную кнопку (находится между Ctrl и Alt) – не отпускаем её и жмем по букве R. Откроется приложение «Выполнить». Вводим команду:
control
- Второй способ – это воспользоваться поиском. Чтобы его открыть нажмите по значку лупы и введите название.
- Находим раздел «Администрирование» и жмем по нему. Если вы не можете его найти, то значит у вас установлен неправильный режим просмотра. Посмотрите на картинку ниже и установите такой же режим как у меня.
- Далее вы увидите несколько ярлыков – жмем двойным щелчком левой кнопкой мыши по кнопке «Просмотр событий».
Если вы постоянно работаете с этой системной утилитой, то я вам рекомендую сделать ярлык, который будет расположен на рабочем столе. Для этого кликаем правой кнопкой, далее из выпадающего меню выбираем «Отправить» – «Рабочий стол (создать ярлык)».
Способ 2: Выполнить
Сейчас вы спросите: а почему мы ранее не воспользовались этим методом, если уже вызывали окно «Выполнить»? – Я хотел, чтобы вы понимали само расположение системной утилиты. Так же мы таким образом знакомимся со структурой операционной системы. В общем воспользуемся нашей любимыми клавишами «WIN + R», чтобы вызвать исполняемую программу и вводим команду:
eventvwr.msc
СОВЕТ! Если каким-то образом кнопки не работают, то вы можете вызвать окно «Выполнить», также через поиск Виндовс.
Способ 3: Поиск
Скорее всего вы уже догадались, что мы сейчас будем делать. Открываем окно поиска операционной системы, нажав по лупе. Кстати окно поиска можно вызвать через + S. Далее в строку поиска вводим:
Просмотр событий
или
eventvwr.msc
Очень важно среди команд выбрать именно «Открыть».
Так как это системная утилита, то её можно запустить прямым методом. Для этого переходим в системный диск «C», открываем папку «Windows» и находим основной раздел «System32». Далее нам нужно найти файл:
eventvwr.msc
Файлов и папок там будет много. Вы можете найти его вручную – все файлы расположены в алфавитном порядке. Или вы можете воспользоваться поиском.
Можно ли отключить журнал событий и как это сделать?
Конечно это не рекомендуется делать. Но если у вас возникли какие-то трудности с этой утилитой, то делаем следующее – сначала используем + R. Вводим команду:
services.msc
Находим «Журнал событий Windows», открываем его двойным щелчком левой кнопкой мыши. Устанавливаем «Тип запуска» – «Отключена». Жмем «Применить» и перезагружаем комп. Или вы можете «Остановить» лог ошибок вручную, но я все же рекомендую перезапустить ОС.
На этом все, дорогие друзья. Если остались какие-то вопросы, то милости прошу в комментариях под этой статьей. Всем добра!
Журнал событий опытные пользователи зачастую используют для решения проблем возникших в операционной системе Windows 10. В журнал событий вносятся данные о всех происходящих событиях в операционной системе. До таких событий относятся информационные сообщения, предупреждения программ, данные о работе пользователей.
Данная статья расскажет как посмотреть, открыть, очистить журнал событий Windows 10. Журнал событий был разработан для опытных пользователей с целью получения возможности полноценного управления операционной системой. Именно поэтому новичкам будет немного сложно разобраться, а системные администраторы легко используют данный инструмент.
Большинство действий пользователя в системе попадают в журнал событий операционной системы. Многие пользователи даже не догадываются о таком инструменте, который также позволяет исправлять множество ошибок. Файлы журнала сохраняются на системном диске по пути: C: Windows System32 winevt Logs. Но не достаточно знать где хранятся данные журнала, поскольку для их просмотра нужно использовать классическое приложение просмотра событий.
- Открываем стандартную панель управления выполнив команду control panel в окне Win+R.
- Дальше переходим в Администрирование и выбираем Просмотр событий.
К альтернативным способам открытия журнала событий можно отнести запуск классического приложения eventvwr.exe или eventvwr.msc просмотра событий на системном диске по пути: C: Windows system32, а также поиск приложения просмотр событий в окне поиска Windows 10 или же простое выполнение команды eventvwr.msc в окне Win+R.
Как очистить журнал событий в Windows 10
Очистить журнал событий в Windows 10 можно несколькими эффективными способами. До таких способов отнесем выполнение одной команды в командной стройке или же в оболочке Windows PowerShell, а также простое удаление событий прямо с журнала. Новичкам рекомендуем использовать только классическое приложение просмотр событий.
После открытия журнала достаточно нажать правой кнопкой мыши на категорию, журнал которой необходимо очистить и в контекстном меню выбираем пункт Очистить журнал… В открывшемся окне подтверждаем очистку журнала нажав кнопку Очистить.
Командная строка
- Запускаем командную строку от имени администратора любым из способов рассмотренных нами ранее.
- Копируем, вставляем и выполняем следующую команду: or /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»
Windows PowerShell
- Запускаем оболочку Windows PowerShell от имени администратора.
- Выполняем следующую команду: wevtutil el | Foreach-Object {wevtutil cl «$_»}
Как отключить журнал событий Windows 10
Ранее мы смотрели, как открыть службы в Windows 10. Здесь также есть возможность отключить службу журнала событий Windows 10. И тогда уже после перезагрузки компьютера данные не будут записываться в журнал и пользователь не сможет посмотреть журнал событий в будущем. Поэтому отключать журнал событий не рекомендуется, хоть такая возможность и есть.
- Открываем окно служб выполнив команду services.msc в окне Win+R.
- Среди списка доступных служб находим Журнал событий Windows и в контекстном меню которого выбираем Свойства.
- В открывшемся окне изменяем типу запуска службы EventLog на Отключена и нажмите ОК.
Эта служба управляет событиями журнала событий. Она поддерживает регистрацию и запрос событий, подписку на события, архивацию журналов и управление метаданными событий. После перезапуска компьютера изменения вступят в силу. А именно служба журнала событий не будет запускаться в автоматическом режиме. Обратите внимание, что остановка службы журнала событий Windows может снизить безопасность и надежность системы в целом.
Заключение
Журнал событий для обычного пользователя по сути не нужен. Только человеку хорошо разбирающемся в операционной системе Windows 10 по силе разгадать коды ошибок появляющихся в журнале. Но попытать удачи и посмотреть журнал событий в нужной ситуации может попытаться любой, вдруг действительно это поможет решить проблему в системе.
(3 оценок, среднее: 4,33 из 5)
Администратор и основатель проекта Windd.ru. Интересуюсь всеми новыми технологиями. Знаю толк в правильной сборке ПК. Участник программы предварительной оценки Windows Insider Preview. Могу с лёгкостью подобрать комплектующие с учётом соотношения цены — качества. Мой Компьютер: AMD Ryzen 5 3600 | MSI B450 Gaming Plus MAX | ASUS STRIX RX580 8GB GAMING | V-COLOR 16GB Skywalker PRISM RGB (2х8GB).
Windows 10 собирает историю выполненных Вами действий, включая файлы, которые Вы открывали, и веб-страницы, которые Вы просматривали в Edge. Вы можете отключить функцию журнала действий и удалить действия.
Журнал действий был добавлен в обновлении Windows 10 за апрель 2018 г. Он может синхронизировать Ваши действия между Вашими компьютерами, но Вы должны включить функцию синхронизации. По умолчанию Windows хранит историю Ваших действий на Вашем компьютере.
Эта опция находится в приложении «Параметры». Нажмите кнопку «Пуск», а затем щелкните значок «Параметры» (или нажмите Windows + I на клавиатуре), чтобы открыть их.
Выберите «Конфиденциальность» в окне настроек.
Выберите параметр «Журнал действий» в разделе разрешений Windows на боковой панели, а затем снимите флажок «Сохранить мой журнал активности на этом устройстве». Windows больше не будет собирать новые действия для журнала.
Даже после того, как Вы отключите сбор действий, Windows по-прежнему показывает действия, которые она ранее собирала в журнале действий.
Чтобы предотвратить синхронизацию действий с Вашим компьютером, переключите учетную запись Microsoft, которая отображается в разделе «Показывать действия с этих учетных записей» в положение «Откл.».
Чтобы удалить все существующие действия из журнала действий, нажмите кнопку «Очистить» в разделе «Очистка журнала действий».
Журнал действий исчезнет из интерфейса представления задач после выполнения вышеуказанных шагов.
На чтение 7 мин. Просмотров 423 Опубликовано 20.01.2021
В мониторе ресурсов Windows 10 я обнаружил, что системный процесс постоянно записывает C: ProgramData Microsoft Windows wfp wfpdiag.etl примерно со скоростью 30–100 КБ/с. Это равно 1 ТБ записи в год, что нехорошо для SSD. Есть и другие записи журнала, такие как C: Windows System32 LogFiles ***.
Хотя журналы необходимы для диагностики, их лучше включать только тогда, когда проблема уже возникла.
Можно ли отключить как можно больше системных журналов, чтобы уменьшить количество мусора, записываемого на SSD?
По умолчанию Windows имеет огромное количество файлов журнала, которые постоянно записывают данные.
Два способа остановить некоторые из этого перемешивания:
Прекратить регистрацию «Успешный аудит» в платформе фильтрации Windows (WFP) , записывать только “Ошибка аудита”
- Откройте командную строку CMD как администратор: нажмите Windows , введите
cmd
, нажмите Ctrl + Shift + Enter и подтвердите. - Введите (или скопируйте/вставьте) следующее и нажмите Enter :
auditpol/set/subcategory: "Filtering Platform Connection"/success: disable/failure: enable
Если это удастся, ожидайте, что будет регистрироваться меньше событий.
Отключить отдельные журналы
- Откройте средство просмотра событий Windows: нажмите Windows R , введите
eventvwr.msc
и нажмите Enter . - Прокрутите вниз до
Приложение и Журналы обслуживания
,Microsoft
,Windows
,WFP
. - Вправо -щелкните процесс журнала и выберите
Отключить журнал
.
Полезным инструментом для поиска в журналах событий по имени является просмотр полного журнала событий Nirsoft.
Переход на хардкор :
Если вы хотите отключить ведение журнала определенных событий, перейдите в Просмотр событий и вправо -щелкните журнал событий, от которого хотите избавиться. Щелкните Свойства события
.
Должно открыться новое окно – щелкните XML-представление
, где вы сможете увидеть GUID события. Попробуем найти в реестре сервис регистрации событий на основе этого GUID. Не все события имеют этот GUID, и мы не сможем найти все GUID в реестре.
После того, как у нас есть GUID, мы переходим к HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control WMI Autologger EventLog-System
в regedit
, и мы ищем наш GUID внутри изогнутых скобок.
Если мы его найдем, то сможем перейти к изменению ключей Enabled и EnabledProperty:
"Enabled" = dword: 0 "EnableProperty" = dword: 0
Поделиться
Улучшить этот ответ
ответ дан 07 июля ’20 в 9:09
-
Вы пропустили шаг, который я не мог понять. Если вы написали «щелкните правой кнопкой мыши журнал событий, от которого хотите избавиться», как определить, какой журнал событий соответствует файлу, в который, как показывает монитор ресурсов, ведется интенсивная запись? (Например: C: Windows System32 LogFiles WMI NetCore.etl) Я не вижу функции поиска в средстве просмотра событий, и мне не удалось найти NetCore.etl. NetCore.etl где-то там – иголка в стоге сена – или это не тот журнал, который отображает Event Viewer? – Долорес Стивенс, 31 июля ’20 в 20:47
-
Это может быть другой вопрос (или вопросы) сам по себе. В своем ответе я никогда не касался файлов, а только событий. Я думаю, что потребуется некоторая обратная инженерия, чтобы выяснить это, или, по крайней мере, я не знаю способов узнать, какая служба ведения журнала записывает в какой файл. Вы всегда можете зайти в EventViewer и попытаться найти событие, которое соответствует содержимому вашего файла NetCore.etl. – GChuf 02 авг., 12:07
-
Когда я импортирую NetCore.etl в программу просмотра событий, результирующий список кажется бесполезным: «неизвестные» события и т. д. В блоге (medium.com/palantir/…) мне пришла идея запустить logman.exe: Когда я запустил “logman.exe query NetCore -ets”, в выходных данных было перечислено множество поставщиков: некоторые из них имеют читаемые имена (Network Profile Manager, Microsoft-Windows-SruMon, Network Location Awareness Trace, Microsoft-Windows-NetworkConnectivityStatus), а остальные имеют имена, соответствующие Руководство провайдера. Большинство из них имеют уровень 5 (подробный). – Долорес Стивенс, 02 авг., 17:39
-
Думаю, я нашел, как записать NetCore.etl на жесткий диск вместо ssd. Я запустил Performance Monitor (приложение для Windows), пробуренный до Data Collector Sets | Сеансы трассировки событий, щелкните правой кнопкой мыши NetCore, щелкните «Свойства», щелкните «Каталог» и перейдите к нужной папке. Я пока не знаю, будет ли это изменение навсегда. Если кто-то хочет полностью остановить запись, то, вероятно, это сделает нажатие кнопки «Стоп» вместо «Свойства», но я еще менее уверен, что это изменение будет постоянным.. какое-то приложение может перезапустить его, возможно, при следующем перезапуске Windows. – Долорес Стивенс 2 авг. ’20 в 18:11
добавить комментарий |
Переход на хардкор :
Если вы хотите отключить определенное событие ведение журнала, перейдите в средство просмотра событий и щелкните правой кнопкой мыши журнал событий, от которого нужно избавиться. Щелкните Свойства события
.
Должно открыться новое окно – щелкните XML-представление
, где вы сможете увидеть GUID события. Попробуем найти в реестре сервис регистрации событий на основе этого GUID. Не все события имеют этот GUID, и мы не сможем найти все GUID в реестре.
После того, как у нас есть GUID, мы переходим к HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control WMI Autologger EventLog-System
в regedit
, и мы ищем наш GUID внутри изогнутых скобок.
Если мы его найдем, мы можем перейти к изменению ключей Enabled и EnabledProperty:
"Enabled" = dword: 0 "EnableProperty" = dword: 0
Думаю, я понял, как заставить NetCore.etl записывать на жесткий диск вместо ssd . Я запустил Performance Monitor (приложение для Windows), развернулся до Data Collector Sets | Сеансы трассировки событий, щелкните правой кнопкой мыши NetCore, выберите «Свойства» в появившемся меню, щелкните вкладку «Каталог» и перейдите к нужной папке. Время покажет, является ли изменение постоянным, но в настоящий момент журнал записывается на мой жесткий диск E :, согласно Resource Monitor.
Если кто-то хочет остановить написание NetCore.etl полностью, нажатие кнопки «Стоп» вместо «Свойства», вероятно, остановит его . Но я менее уверен, что это изменение будет постоянным. Некоторые приложения могут перезапустить его, возможно, при следующем перезапуске Windows. Если кто-нибудь попробует это сделать, я надеюсь, что он/она опубликует результат в этой ветке.
Аналогичным образом можно перенаправить (или остановить) несколько других файлов журнала.
Поделиться
Улучшить этот ответ
отредактировано 2 августа ’20 в 21 : 53
ответил 02 августа ’20 в 18:22
-
Я нашел второй способ изменить папку, в которой записан NetCore.etl, с помощью logman.exe с соответствующими параметрами командной строки.. Этот метод имеет большое преимущество перед техникой графического интерфейса монитора производительности, поскольку его можно поместить в файл .bat и запускать при каждом запуске Windows. Сегодня я также узнал, что метод Performance Monitor не меняет папку навсегда, поэтому задача запуска Windows, запускающая logman, – это способ сделать это эффективно. Пример командной строки: «logman update trace NetCore -ets -o E: Windows_System32_LogFiles_WMI NetCore.etl» (без кавычек) – Долорес Стивенс, 15 августа ’20 в 22:26
добавить комментарий |
Думаю, я понял, как заставить NetCore.etl записываться на жесткий диск вместо ssd . Я запустил Performance Monitor (приложение для Windows), развернулся до Data Collector Sets | Сеансы трассировки событий, щелкните правой кнопкой мыши NetCore, выберите «Свойства» в появившемся меню, щелкните вкладку «Каталог» и перейдите к нужной папке. Время покажет, является ли изменение постоянным, но в настоящий момент журнал записывается на мой жесткий диск E :, согласно Resource Monitor.
Если кто-то хочет остановить написание NetCore.etl полностью, нажатие кнопки «Стоп» вместо «Свойства», вероятно, остановит его . Но я менее уверен, что это изменение будет постоянным. Некоторые приложения могут перезапустить его, возможно, при следующем перезапуске Windows. Если кто-нибудь попробует это сделать, я надеюсь, что он/она опубликует результат в этой ветке.
Аналогичным образом можно перенаправить (или остановить) несколько других файлов журнала.