Как отключить логи в windows 10

Вы знаете, что ОС Windows оснащена функцией, которая регистрирует все что происходит за ПК. Записывает данные в Журнал событий, даже если пользователь ничего не делал. В нем отображаются ошибки и предупреждения. Рассмотрим подробно как отрыть посмотреть и очистить Журнал событий Windows 10.

Что это такое

Журнал событий Виндовс (Windows) 10 — функция, позволяющая просматривать все действия, происходящие в ОС. Записываются сообщения, ошибки работы драйверов, приложений и программ в лог, который называется Журналом событий.

Где используется

Просмотр сообщений помогает найти слабые проблемы в защите устройства. Это полезно для серверов. Основное предназначение — сбор информации для устранения неисправностей.

Это файлы расширением «EVTX». Находится по адресу:
Содержание файлов — текстовая информация. Только открыть их текстовым редактором не выйдет. Они содержат бинарный формат. Для просмотра используется утилита «eventvwr».

Как открыть

Для запуска нажмите «Win+R», пропишите «control».
Далее:

Другой способ

Нажмите (Win+R), пропишите «eventvwr.msc».
Откроется окно утилиты. Слева расположены журналы:

• приложений;
• служб;
• подписки.

Средняя колонка отображает события. Правая — действия. Ниже — сведения о выбранной записи.
Работа происходит с разделом «Журналы», в который входят такие категории:

1. Система. Содержит действия, которые созданы драйверами и модулями ОС;
2. Установка;
3. Безопасность. Информация о входе в аккаунты, учетные записи, доступ к файлам, установки процессов;
4. Приложение. Информация про ошибки, созданные установленным софтом. Используются чтобы найти причину неработоспособности приложений;
5. Перенаправление.

Событий в системе исчисляется десятками тысяч. Поэтому утилита для удобства предоставляет поиск по времени, коду источнику. Например, как увидеть системные ошибки? Нажмите по ссылке «Фильтр».
Отметьте пункты как на скриншоте:
Утилита отфильтрует записи.
Просмотрите сообщение:

Как работать

Пока ПК работает без сбоев Журнал событий в Windows 10 не нужен. Используется при появлении проблем с ПК: перезагрузка, Синий экран. Журнал в (Windows) 10 информирует о причинах сбоев.
Выберите ошибку. Посмотрите информацию о нее. Например: «Активация для приложения COM-сервера с CLSID {D64B11C6-BB46-4980-A93F-E41B9D520250}».
Скопируйте ее, посмотрите информацию в интернет. В этом примере ошибка говорит о необходимости обновления.

Как очистить

Утилита записывает мегабайты информации о работе ОС, отправляет их на сервер Microsoft не удаляя из системы. Они сохраняются на HDD. Чтобы удалить, используются такие способы:

1. Выборочное удаление;
2. Удалить используя Командную строку;
3. Использование стороннего софта.

Рассмотрим их подробнее.

Выборочная очистка

Откройте утилиту, выполните действия как на скриншоте:

Очищаем Журнал событий Windows 10 через cmd (командную строку)

Нажмите «Win+X», далее:
Пропишите команду:

Приложение CCleaner

Откройте программу. В разделе «Очистка» отметьте пункт «Файлы». Нажмите кнопки «Анализ», потом «Очистка».
Подробнее о работе приложения смотрите в статье: «Очистка ПК».

Журнал событий Windows 10 отключить

Нажмите «Win+R», пропишите команду «services.msc».
Найдите «Журнал». Далее:
Изменения активируются после перезагрузки.

Вывод

Журнал событий работает в фоновом режиме и нагружает CPU. Рекомендую отключить его. Вреда для ОС от это действия не будет.

Windows 10 является последней обновленной версией из серии операционных систем от корпорации Microsoft. ОС поддерживает встроенную подсистему Linux. Это позволяет работать с широким арсеналом файлов разных форматов. Windows сборка NT 10.0 (2015-2019) отличается от предыдущих версий функциональностью и дополнительными возможностями. Например, в ней присутствует специальный блок – «Журнал ошибок», в котором записываются ошибки и исправления, наблюдаемые при работе программ. Компьютер анализирует и устраняет (исправляет) возникшие проблемы и сохраняет запись о причине сбоя в этом ресурсе. Это важная утилита является частью встроенного в ОС средства «Просмотр событий».

Системный журнал Windows 10 используется для просмотра разной информации о работе приложений и других важных действиях, совершенных в процессе работы компьютера. Здесь отображаются данные о неполадках, возникших в ОС или сторонних программах.

Логотип компании Microsoft Windows

В консоли выделяются 4 вида событий:

• ошибка;
• сведения;
• критические события;
• предупреждения.

При каждом сбое появляется новая запись, чтобы в дальнейшем пользователь смог проверить его причину.

Доступ в интернет есть, но ошибка остаётся

Такая ситуация вполне может быть. Причины могут быть разными — чаще всего при подключении через прокси-сервер. Однако решение одно. Нажмите Win+R, введите gpedit.msc — так вы попадёте редактор локальных групповых политик. В меню слева переходите по пунктам: Политика «Локальный Компьютер» — Конфигурация компьютера — Административные шаблоны — Система — Управление связью через Интернет — Параметры связи через Интернет. Теперь, в правой части окна найдите и включите «Отключить активное зондирование для индикатора состояние сетевого подключения». В Windows 10 этот параметр называется «Отключить активные проверки работоспособности сетевых подключений». Учтите тот факт, что теперь даже при действительно отсутствующем подключении сообщение появляться не будет.

Где находится журнал событий Windows

Журнал событий Windows 7 — как открыть лог

Запускать журнал Windows 10 можно разными методами. В основном используются системные инструменты, либо же его открывают ручным способом при помощи файла программы на диске.

Способ 1. Диалоговое Окно «Выполнить»

В журнал событий на Windows 10 можно зайти через диалоговое окно «Выполнить». Комбинация клавиш WIN + R позволяет открыть командную строку, или для запуска утилиты используется меню Пуск. На соответствующей вкладке вводится команда: «eventvwr.msc». Когда действия подтверждены кнопкой «ОК», открывается журнал событий.

Способ 2. Активировать командной строкой в пункте «Справка»

Чтобы открыть журнал действий Windows 10 через раздел Справки, на рабочем столе (пустое окно) нажимают кнопку F1. Через открывшееся окно переходят в раздел «Указатель», в строке поиска вписывают «Журнал событий» и нажимают «Показать». Служба поможет перейти в журнал через информационное окно.

Важно! При переходе через раздел «Справка и поддержка» пользователь должен самостоятельно выбрать соответствующую вкладку в дополнительном окне, потому что там отображается полная информация о компонентах OS.

Способ 3. Использование панели управления ОС

Через основную панель можно открывать разные утилиты, необходимые для настройки и управления функционалом программного обеспечения. Переход на панель управления осуществляется как через меню Пуск, так и при помощи диалогового окна «Выполнить» (WIN+R). В командной строке нужно указать слово «control» и нажать «ОК» для подтверждения команды.

На появившейся вкладке требуется найти раздел «Администрирование». Далее на экране отобразится список, где находится журнал приложений Windows 10. Там можно просмотреть записанные события, касающиеся работы программ.

Способ 4. Журнал событий Windows 10 – как открыть через PowerShell

В поле Поиска в Виндовс вводится слово PowerShell. В списке результатов выбирается соответствующая команда. Дальше нужно указать команду Get-WindowsUpdateLog и нажать на кнопку Enter. Когда появится уведомление «Команда выполнена успешно», запущенный раздел откроется.

Важно! Созданный на рабочем столе файл просматривается программой «Блокнот» (открыть с помощью – выбор программы вручную – Блокнот).

Способ 5. Поиск по Windows

Операционная система поддерживает функцию поиска для быстрого запуска приложений. На панели задач имеется иконка для активации поисковой службы Windows. Запуск утилиты происходит при помощи одновременного нажатия кнопок WIN + S.

На открывшейся строке нужно ввести Просмотр событий. Дальше в окне результатов следует найти журнал и запустить его.

Как открыть?

Найти и открыть журнал событий достаточно просто, для этого необходимо в поиске Windows 10 ввести словосочетание «Просмотр событий» и щелкнуть по нему. Но в случае если у вас деактивировано индексирование, то это попытка не принесет результата.

И как вариант можно:

• Войти в «Панель управления» и зайти в раздел «Администрирование». Здесь и будет находиться нужный нам пункт.

  

Вся информация будет разделена на соответствующие группы. Например, открыв журнал приложений, у вас будет возможность просмотреть все сообщения о работе программ. Абсолютно все системные происшествия, связанные с Виндовс 10, отображаются в нем.

Изначально данная служба разрабатывалась исключительно для администраторов, которые постоянно ведут мониторинг состояния серверов, выявляют ошибки и причины появления, и после чего пытаются быстро их устранить.

Не пугайтесь, если ваше устройство работает исправно, но в журнале есть предупреждения об ошибках, ведь это нормальное явление для ОС. Любые сбои, в том числе незначительные, вносятся в реестр, поэтому не стоит переживать.

Как создать ярлык для быстрого запуска журнала

Если приходится часто обращаться к системному журналу событий, то лучше всего создать ярлык на рабочем столе. Чтобы выполнить эту задачу:

1. необходимо перейти на «Панель управления» Windows (меню «Пуск», поиск F3 или окно «Выполнить»);
2. на панели задач открыть вкладку «Администрирование»;
3. в открывшемся окне одним кликом мыши о;
4. нажатием правой кнопки мышки запустить контекстное меню;
5. выбрать вариант «Отправить»;
6. в появившемся дополнительном меню выбрать команду – создать ярлык на Рабочий стол.

Журнал ошибок Windows 10 — как посмотреть отчет

После совершения этих операций на рабочем столе появится ярлык для быстрого запуска соответствующего приложения. Двойным нажатием ЛКМ на созданном ярлыке его можно быстро открыть.

На заметку! Чтобы решить вопрос, как быстро открыть журнал на Виндовс 10, нужно создать постоянный доступ к нему на десктопе

Просмотр журнала событий на удалённом компьютере

Для просмотра событий на Windows 10 есть приложение Event Viewer, которое встроено в систему. Данная утилита и компоненты командного меню Wevtutil позволяют управлять журналом на удаленном ПК.

Брандмауэр Windows 7: как открыть, настроить, отключить

Удаленное управление включается из самого раздела «Просмотр событий». Запускается дерево консоли с выбором корневого элемента: Просмотр событий – локальные. В разделе «Действия» указывают команду «Подключиться к другому ПК». В соответствующем поле вводится название или IP-адрес компьютера для удаленного подключения.

Дополнительная информация. Дальше перед надписью «Подключиться в качестве другого пользователя» нужно поставить галочку. После открытия нового окна при помощи заполнения соответствующих полей задаются имя пользователя и пароль. Выполненные действия необходимо подтвердить клавишей «ОК».

Wevtutil запускается вводом команды cmd в поле поиска. В командной строке указывается wevtutil/r:. Если требуется подключение в качестве другого пользователя, то вписывается команда: wevtutil/r:/u:/p:.

Важно! Чтобы получить удаленный доступ к журналу событий, на брандмауэре другого компьютера должно быть установлено исключение на безопасность доступа типа «Удаленное управление журналом событий». Иначе брандмауэр заблокирует путь.

Активацию функции «Просмотр событий» с удаленным подключением к другому ПК можно выполнить при помощи подтверждения команды: eventvwr.

Таким образом просматривают настраиваемые модули, ссылки и остальные ресурсы на локальном ПК.

Что значат записи лога разных типов

На Windows 10 сохраняется значительное количество логов, которые могут быть полезны для специалистов IT, программистов и технической поддержки. Это позволяет им устранять неполадки и сбои в работе программ.

В блоке производится запись логов по 4 критериям:

• Отображение критических событий позволяет решать проблему при помощи приведенной информации. Например, критическая ошибка возникла из-за неправильного выключения ПК. Значит для устранения этой проблемы достаточно правильно отключать компьютер.
• Узнать причину ошибок в журнале можно кликом по ЛКМ над записью. Ошибки отображаются с кодом события. Если по отображенным данным не удалось понять причину, то задается поиск в интернете с указанием кода.
• Сведения появляются тогда, когда в ПК инсталлировали или обновляли приложения. В уведомлении присутствуют данные о ресурсах восстановления системы в случае необходимости.
• Предупреждения фиксируются при неудачной попытке программ подключиться к серверу DNS. Эти сообщения необходимо игнорировать. Но при регулярном отображении предупреждающего сигнала рекомендуется узнать причину через события в журнале.

Запись производится при возникновении таких фактов, как:

• перезагрузка компьютера;
• восстановление;
• синий экран.

Проблема № 4 (критическая). Невозможно отследить создание каталога и ключа реестра

Наличие проблемы подтверждено на Windows 7/10/Server 2021.

Описание проблемы

Windows не позволяет отследить создание каталога файловой системы и ключа реестра. Это заключается в том, что операционная система не генерирует событие, в котором содержалось бы имя создаваемого каталога или ключа реестра, и параметры которого указывали бы на то, что это именно операция создания.
Теоретически по косвенным признакам выявить факт создания каталога возможно. Например, если он создавался через «Проводник», то в процессе создания будут сгенерированы события опроса атрибутов нового каталога. Проблема в том, что если создать каталог через команду mkdir, то вообще никакие события не генерируются. Всё то же самое справедливо и для создания ключей в реестре.

В чем суть проблемы?

Эта проблема существенно затрудняет проведение расследований инцидентов информационной безопасности. Нет никаких разумных объяснений тому, что в журналах не фиксируется данная информация.

Очистка, удаление и отключение журнала

Утилитой для записи событий в ПК можно управлять при помощи системных опций и настроек. Ее следует отключать, удалять или очищать для освобождения места в памяти.

Пользователь может задать параметры для регулярной очистки в течение определенного времени. Также историю в функционале можно удалить ручным способом.

На заметку! Если вовремя не очистить журнал, он переполняется, занимая память устройства. В результате этого загрузка системы при запуске ПК не происходит. Вот почему, пользователи часто ищут ответ на вопрос, как отключить журнал действий на Windows-10.

Способы очистки журнала

Есть несколько способов, позволяющих очистить журнал событий:

1. Вход в систему командной строкой осуществляется правами Администратора. Затем вводится команда: for/F»tokens=*»%1 in (‘wevtutil.exe el’) DOwevtutil.exe cl «%1». Нажатие клавиши Enter подтверждает действия пользователя. После завершения процедуры вкладку закрывают. Систему желательно перезагрузить заново.
2. PowerShell помогает удалять записи. Открывается утилита системной службой поиска. В поисковом поле вписывается надпись «powershell», и из появившегося списка запускают функционал. Ввод команды Get-EventLog -LogName* | ForEach { Clear-EventLog $_.Log} в соответствующем разделе позволяет удалить данные.
3. Записи удаляют при помощи открытия утилиты «Просмотр событий». Вначале правой кнопкой мыши открывается контекстное меню. Там есть опция «Очистить журнал». Удалять данные с сохранением копии можно после выбора команды «Очистить и сохранить». Очистка успешно запускается как в полном, так и в выборочном варианте.
4. В каждом журнале доступна панель «Действия», в ней есть функция «Фильтровать текущий журнал». Запуск фильтра позволяет удалять ненужную информацию.

Важно! Фильтрация работает в автоматическом режиме. Поэтому лучше установить таймер на определенный срок, и система самостоятельно выполнит очистку в нужное время.

Как отключить журнал событий

В командной строке окна «Выполнить» указывают: services.msc и нажимают на Enter (мышью «ОК»). В отображаемом списке находят надпись «Журнал». В контекстном меню активируют команду «Отключить».

В разделе «Администрирование» есть пункт «Службы». После его открытия появляется список запущенных служб. Там следует найти нужную функцию и нажать мышкой. Затем в появившемся окне выбрать раздел «Общие». В строке с надписью «Тип запуска» выбирают команду «Отключено».

На заметку! Чтобы изменения вступили в силу, ПК необходимо перезагрузить. Утилита функционирует в фоновом режиме, поэтому не влияет на работу ОС.

Удаление журнала событий

Удалять системный журнал необязательно, достаточно фильтровать или очищать его время от времени. Но, если все-таки требуется ликвидировать этот пункт, то более безопасный способ – это использование команды PowerShell Remove-EventLog. Таким методом журнал стирается с локального или удаленного компьютера.

Важно! Для полного удаления в строке команд указывают лог: Remove-EventLog -LogName «MyLog».

Журнал событий – важный функционал ОС на Windows 10. Благодаря ему в системе сохраняются записи об ошибках в работе разных программ. Там же содержится информация о причинах этих ошибок. Изучение способов открытия журнала и возможностей для удаления из него ненужной информации поможет быстро устранять серьезные ошибки в работе ПК.

Проблема № 5 (критическая). Сбойные параметры аудита в русских версиях Windows

Наличие проблемы подтверждено на русских редакциях Windows 7/10/Server 2021.

Описание проблемы

В русских версиях Windows есть ошибка, приводящая систему управления аудитом безопасности в нерабочее состояние.

Симптомы

Изменение расширенных политик безопасности не оказывает никакого влияния на эффективные параметры аудита, или, другими словами, политики не применяются. Например, администратор активировал подкатегорию «Вход в систему», перезагрузил систему, запускает команду auditpol /get /category:*, а данная подкатегория остается не активной. Проблема актуальна как для доменных компьютеров, управляемых через групповые политики, так и для не доменных, управляемых с помощью локального объекта групповой политики, конфигурируемого через оснастку «Локальные политики безопасности».

Причины

Проблема возникает, если администратор активировал хотя бы одну из «сбойных» подкатегорий расширенных политик аудита. К подобным сбойным категориям, в частности, относятся:

1. Использование прав —> Аудит использования прав, затрагивающих конфиденциальные данные. GUID: {0cce9228-69ae-11d9-bed3-505054503030}.
2. Использование прав —> Аудит использования прав, не затрагивающих конфиденциальные данные. GUID: {0cce9229-69ae-11d9-bed3-505054503030}.
3. Доступ к объектам —> Аудит событий, создаваемых приложениями. GUID:{ 0cce9222-69ae-11d9-bed3-505054503030}.

Рекомендации по решению проблемы

Если проблема еще не произошла, то не активируйте указанные «сбойные» подкатегории. Если события этих подкатегорий очень нужны, то пользуйтесь утилитой auditpol для их активации или же управляйте аудитом с помощью базовых политик.
Если проблема произошла, то необходимо:

1. Из каталога доменной групповой политики удалить файл Machinemicrosoftwindows ntAuditaudit.csv
2. Со всех компьютеров, на которых были выявлены проблемы с аудитом, удалить файлы: %SystemRoot%securityauditaudit.csv, %SystemRoot%System32GroupPolicyMachineMicrosoftWindows NTAuditaudit.csv

В чем суть проблемы?

Наличие данной проблемы уменьшает количество событий безопасности, которые можно контролировать штатным образом через расширенные политики аудита, а также создает угрозы отключения, блокирования и дестабилизации управления системой аудита в корпоративной сети.

Системный журнал событий (он же «Просмотр событий» или «Event Viewer») в Windows 10 – это один из самых важных инструментов в операционной системе, к которому прибегают не все пользователи, а зря. Ведь он помогает показать все важные ивенты, которые происходят как с самой ОС, так и с установленными программами. В таком случае даже неопытный пользователь может легко найти решение по конкретной проблеме, так как в нем сохраняются все логи ошибок. Ну или хотя бы «загуглить» информацию, которая уже поможет.

Далее я расскажу, как открыть журнал событий (ошибок), создать ярлык на рабочем столе или отключить службу. На самом деле инструкции почти ничем не отличаются и от других версий «Окон», поэтому вы можете пользоваться ею всегда. Если в процессе возникнут какие-то вопросы (в том числе по ошибкам, которые вы найдете), то смело обращайтесь ко мне в комментариях, и я вам постараюсь помочь. Поехали!

Способ 1: Панель управления и создание ярлыка для быстрого доступа

Если ранее её можно было вызвать с помощью правой кнопки по кнопке «Пуск», то почему-то разработчики в данный момент её оттуда убрали. Переживать не стоит, её полностью убирать не будут, но сам факт достаточно странный. Поэтому мы воспользуемся другим методом.

1. Открываем «Панель управления». Это можно сделать двумя способами. Первый – зажимаем вспомогательную кнопку (находится между Ctrl и Alt) – не отпускаем её и жмем по букве R. Откроется приложение «Выполнить». Вводим команду:

control

1. Второй способ – это воспользоваться поиском. Чтобы его открыть нажмите по значку лупы и введите название.

1. Находим раздел «Администрирование» и жмем по нему. Если вы не можете его найти, то значит у вас установлен неправильный режим просмотра. Посмотрите на картинку ниже и установите такой же режим как у меня.

1. Далее вы увидите несколько ярлыков – жмем двойным щелчком левой кнопкой мыши по кнопке «Просмотр событий».

Если вы постоянно работаете с этой системной утилитой, то я вам рекомендую сделать ярлык, который будет расположен на рабочем столе. Для этого кликаем правой кнопкой, далее из выпадающего меню выбираем «Отправить» – «Рабочий стол (создать ярлык)».

Способ 2: Выполнить

Сейчас вы спросите: а почему мы ранее не воспользовались этим методом, если уже вызывали окно «Выполнить»? – Я хотел, чтобы вы понимали само расположение системной утилиты. Так же мы таким образом знакомимся со структурой операционной системы. В общем воспользуемся нашей любимыми клавишами «WIN + R», чтобы вызвать исполняемую программу и вводим команду:

eventvwr.msc

СОВЕТ! Если каким-то образом кнопки не работают, то вы можете вызвать окно «Выполнить», также через поиск Виндовс.

Способ 3: Поиск

Скорее всего вы уже догадались, что мы сейчас будем делать. Открываем окно поиска операционной системы, нажав по лупе. Кстати окно поиска можно вызвать через + S. Далее в строку поиска вводим:

Просмотр событий

или

eventvwr.msc

Очень важно среди команд выбрать именно «Открыть».

Так как это системная утилита, то её можно запустить прямым методом. Для этого переходим в системный диск «C», открываем папку «Windows» и находим основной раздел «System32». Далее нам нужно найти файл:

eventvwr.msc

Файлов и папок там будет много. Вы можете найти его вручную – все файлы расположены в алфавитном порядке. Или вы можете воспользоваться поиском.

Можно ли отключить журнал событий и как это сделать?

Конечно это не рекомендуется делать. Но если у вас возникли какие-то трудности с этой утилитой, то делаем следующее – сначала используем + R. Вводим команду:

services.msc

Находим «Журнал событий Windows», открываем его двойным щелчком левой кнопкой мыши. Устанавливаем «Тип запуска» – «Отключена». Жмем «Применить» и перезагружаем комп. Или вы можете «Остановить» лог ошибок вручную, но я все же рекомендую перезапустить ОС.

На этом все, дорогие друзья. Если остались какие-то вопросы, то милости прошу в комментариях под этой статьей. Всем добра!