Очистка всех журналов windows 10 bat

Время прочтения
22 мин

Просмотры 34K

Доброго времени прочтения, уважаемые читатели Хабра.

Побуждением к изысканиям, опубликованным в данной статье, стало набирающее все большую и большую популярность слово «форензика» и желание разобраться в вопросе — какие данные о цифровой жизнедеятельности рядового пользователя собирает ОС Windows 10, где их хранит и как сделать кнопку — «Удалить все» (Я бы взял частями, но мне нужно сразу (с) Остап Бендер).

А возникновению данного побуждения способствовало то, что, как оказалось, интерес к вопросу «как удалить историю», выдаваемую эпичной LastActivityView, до сих пор будоражит умы

при этом, зачастую, на форумах вопрос остается без ответа. Масла в огонь подливает то, что ванильный CCleaner в случае с LastActivityView не помогает.

Те, кому в основном интересна практическая сторона вопроса, насчет кнопки «Удалить все», могут сразу перейти к концу статьи — там предлагаю варианты решения.

А в статье — хочу поделиться результатами этих изысканий с теми, кого это заинтересует. Речь пойдет о тех данных, которые хранятся ОС Windows 10 локально и к которым можно просто и быстро получить доступ с использованием «бесплатных и общедоступных средств форензики», в том числе и утилит NirSoft. Хотя речь пойдет не о них (почему — смотреть ниже).

Сразу хочу оговориться — я не являюсь специалистом в области компьютерной безопасности или криминалистического анализа, не имею криминального опыта или побуждений, мамой клянусь, век воли не видать.

Целевая операционная система

В данной статье рассматривается ОС Windows 10. Другие выпуски Windows, естественно, так же грешны сбором и хранением данных, но у них ключи реестра, папки, службы и т.п. отличаются.

Содержание

Причем тут форензика
Почему речь не про NirSoft
Какие данные хранятся Windows
Зачем Windows собирает данные и чем чревато их удаление
Где эти данные хранятся?
Так как, в конце-концов, их затереть-то?
Источники

Причем тут форензика

В статье вопрос касается использования ее методов и средств для доступа к приватным данным пользователя. И, в связи с их распространением и доступностью, вполне вероятно — всуе, доморощенными форензиками-кулцхакерами, троянских дел мастерами и прочими любителями вычислять по IP или легкой наживы, да и просто недружелюбными любопытными, так как для скачивания, запуска и чтенияхсохранения данных, выдаваемых той же LastActivityView, Ниром Софером быть совсем необязательно.

Почему речь не про NirSoft

Во «вступлении» я не случайно дал ссылку на LastActivityView на Софт Портале. Там и впрямь только краткое описание функционала данной утилиты, зато на русском. А на офф. страничке своих утилит Нир Софер пишет многабукфф да еще и по-англицки шпрехает. Но, зато, почти для каждой его утилиты там есть описание, откуда она берет данные. Для LastActivityView в самом низу, под заголовком «How to delete the information displayed by LastActivityView».

Надо признать, что я и сам такой же Зоркий Глаз — когда-то, как и он, только через неделю заметил, что «у сарая одной стены нет». Но, правда, сия неделя была несколько раньше, чем LastActivityView стали пугать пользователей или, что вероятнее, когда они добрались до Софт Портала и сами научились ее пугаться.

Хотя утилиты NirSoft, наряду с SysInternals, ИМХО образец профессионализма для программиста и крайне удобны для администрирования. Да и для проведения расследований их и впрямь зачастую рекомендуют. ПруфПример: Хакер №229. Форензика и он далеко не единственный.

Хотя, думаю, подобное направление их использования само собой приходило в голову тем, кто так или иначе имел с ними дело.

Какие данные хранятся Windows

Хранится все, что связанно с доступом к файлам и папкам и их местоположением, использованием программ (в т.ч. и protable), подключением устройств хранения информации (в том числе и шифрованных файловых контейнеров).
Да, это не во всех случаях, что-то сохраняется только при определенных событиях, а что-то может быть отключено, но лучше, все же, исходить из того, что все и всегда. Что подключали, какие папки-файлы открывали, какие программы использовали.
И еще из того, что с журналами Windows — непредсказуемо, что туда будет записано. В связи хотя бы с тем, что это сильно зависит и от конкретных настроек конкретной ОС и каждой ее подсистемы, и журналы эти доступны для записи в них сообщений сторонними программами.

А причем тут «доступ» и «местоположение»? Сильно утрированный пример: номер банковской карты и ее pin-код так и останутся в файле «D:МояСуперСекретнаяПапкаCardPin.docx», никуда в Windows не запишутся, а вот факт доступа и «говорящие» имена папки и файла, то, что был использован, например, MS Office 2007 portable, а так же дата-время как минимум последнего (иногда и каждого) доступазапуска — зафиксируется Windows, причем размазано тонким слоем по всей системе.

Про некоторые другие данные — можете почитать ниже по тексту, под заголовком «Прочие источники утечек информации известные мне, но не попадающие под тематику статьи»

Стало быть, коль подключали, запускали, открывали что-то такое, что не хотелось бы, чтоб стало достоянием широкой общественности — не худо бы потом и следы замести.

Совершенно справедливый комментарий от Hanabishi — «Зато тема реального логгирования не затронута вообще никак… не упоминается ничего относящегося к телеметрии и Win10 в частности» — прошу прощения, толком не описал, что речь в статье идет о приватных данных, хранящихся локально, на ПК пользователей. Вопросы слежки, как и вопросы анонимности в сети, все-таки другая, отдельная тема.

Зачем Windows собирает данные и чем чревато их удаление

Большинство данных Windows собирает для удобства пользователя — например, для ускорения запуска приложений, для отображения папок в проводнике с теми настройками, которые задал пользователь, отображения списка ранее открытых файлов и т.д. и т.п. Затереть только данные, не лишившись при этом удобств — не получится.
Так же, часть данных собирается для оценки производительности и состояния компьютера и ОС (в том числе о сбоях и ошибках) IT-специалистами и специализированным ПО для решения возникающих у пользователя проблем. Без этих данных — решить проблемы, если они возникнут, будет сложно.
И все это еще один повод задуматься над вопросом, когда действительно необходимо стирать данные, а когда не стоит и может быть не надо стирать их огулом при каждом включении-выключении компа.

Совершенно справедливый комментарий от Hanabishi — «зачем чистить логи служб, если можно просто отключить эти самые службы?» Не упомянул я об этом. Можно. Как штатными средствами, так и танцами с бубном. Но это опять же означает — раз и навсегда лишиться удобняшек, которые наше все.

Что мне будет от Винды за масштабное выпиливание приватных данных, в том числе, с помощью предложенного тут решения?

Эпик фейлов случиться не должно, особенно если внимательно познакомиться с описанием каждого правила «очистки» и, если что, его отключить. Но и новой шапки, с новой буркой, тоже ждать не приходится.

• Если предполагаются какие-то «ремонтно-восстановительные» работы, то сотрется важная для этого информация. Но это касается, в основном, стирания журналов Windows
• Если отображение каких-то папок настраивали под себя, придется настраивать по новой
• Если задавали каким-либо программам режим совместимости или запуск от имени администратора, задавать придется заново
• Ввиду затирания данных, необходимых для ускорения доступа к данным, их отображения и запуска программ, следующий, после затирания, доступотображениезапуск, немного замедлится
• Ввиду затирания данных об открытых ранее файлах, искать их придется заново, воспользоваться пунктом меню «ранее открытые файлы» в программах не получится
• Если выбрать удаление кеша обновлений Windows, деинсталировать потом обновления штатным образом не удастся

Где эти данные хранятся?

После заявленных во вступлении «изысканий» и сверки свежеизысканного с окружающей действительностью у меня сложилось впечатление, что

кроме IBM-286 уже успели еще что-то изобрести

основные «заповедные места» не поменялись еще со времен XP, разве что местоположение и формат некоторых изменились. И кое-что добавилось, но, вроде бы, немного. Посему поэтому уверен, что Америк не открою, тем более специалистам, но может быть кого-то заинтересует эта подборка, в связи с подъемом интереса к вопросам анонимности и безопасности.

Сразу хочу предупредить — это далеко не все, только самое основное и информативное (в смысле описания не все, стирается в предложенном решении гораздо больше) и не развернуто и «галопом по Eвропам». Для тех, кому данная тема действительно интересна, в конце этой главы — известные мне интересные материалы для самостоятельного изучения + ряд конкретных «заповедных мест» приведены в решениях для их зачистики.

Основные, известные мне, источники утечек информации об активности пользователя

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesbamUserSettings<SID пользователя>

HKEY_USERS<SID пользователя>SoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2

HKEY_LOCAL_MACHINESOFTWAREMicrosoftRADARHeapLeakDetectionDiagnosedApplications

Журналы Windows: ну, тут без комментариев… даже совершенно справедливых.

Есть еще несколько мест в реестре и на диске, но они гораздо менее информативны и не очень интересны (см. в «решениях», ниже). И есть еще море других мест, навроде файлов «*.log» разных служб и даже не всегда Microsoft. Правда, обнадеживает то, что CCleaner на стероидах (см. ниже) затирается почти все.

Прочие источники утечек информации известные мне, но не попадающие под тематику статьи по тем или иным причинам. И тут тоже надо отметить, что почти все затирается CCleaner-ом или имеются другие свободно распространяемые утилиты.

HKEY_USERS<SID пользователя>Software

Материалы по данной тематике, кроме «источников» в конце статьи

Так как, в конце-концов, их затереть-то?

Предлагаю на рассмотрение и критику следующий вариант: Прокачать CCleaner (что, думаю, и удобнее пользователям и правовернее, ибо исключает изобретение очередного велосипеда) и
использовать bat-файл для затирания журналов windows.

Плюс, ниже — собственное решение, в виде bat-файла, но его, все-таки, использовать даже по-моему,

не целесообразно

(тем более он затирает только самое основное и в основном для windows 10). Разве что -предлагаю почитать комментарии к коду.

Прокачать CCleaner + добавить ему свои правила + bat-файл для стирания журналов Windows

Для начала, надо скачивать и запустить CCEnhancer, выполнить «обновление» (по инструкции на страничке). Только непременно выбрать и нажать на данный пункт меню (предварительно закрыв CCleaner, если он запустился):

Иначе в файле winapp2.ini окажется 100500 правил, крайне доставляющих своей актуальностью для широких масс, таких, как правила очистки для эмулятора «Заики Спектрума» (может тут кто даже вспомнит такой комп), но при этом сильно тормозящих CCleaner.

Затем надо перейти в ту папку, где установлен CCleaner. Найти там файл winapp2.ini, поздравить его с облегчением и открыть (например, в nodepad++).

[All Prefetch]
Section=Windows10
Default=False
FileKey1=%WinDir%Prefetch|*.pf;*.db;*.fx;*.7db;*.ini;*.ebd;*.bin|RECURSE

[AppCompatFlags Layer]
Section=Windows10
Default=False
RegKey1=HKCU.DEFAULTSoftwareMicrosoftWindows NTCurrentVersionAppCompatFlagsLayers

[Explorer RunMRU]
Section=Windows10
Default=True
RegKey1=HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU

[OpenSaveFilesView]
Section=Windows10
Default=True
RegKey1=HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32FirstFolder
RegKey2=HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32FirstFolder
RegKey3=HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32LastVisitedPidlMRULegacy
RegKey4=HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSavePidlMRU

[UserAssist]
Section=Windows10
Default=True
RegKey1=HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist

[DiagnosedApplications]
Section=Windows10
Default=False
RegKey1=HKLMSOFTWAREMicrosoftRADARHeapLeakDetectionDiagnosedApplications

[BAM]
Section=Windows10
Default=True
RegKey1=HKLMSYSTEMCurrentControlSetServicesbamUserSettings.DEFAULT
RegKey2=HKLMSYSTEMControlSet001ServicesbamUserSettings.DEFAULT

[MountedDevices]
Section=Windows10
Default=True
RegKey1=HKU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2

[Panther]
Section=Windows10
Default=True
FileKey1=%WinDir%Panther|*.*|RECURSE

[Minidump]
Section=Windows10
Default=True
FileKey1=%WinDir%Minidump|*.*

Сохранить файл.

REM Last-ик ActivityView. Очистка журналов Windows

@ECHO OFF

REM Надеюсь, сохранить файл в кодировке DOS-866 не забыли
CHCP 866

COLOR A

CLS

REM ----------------------------------------------------------------------------------------
REM Проверка на наличие прав администратора 
FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V
	IF (%adminTest%)==(Отказано) GOTO errNoAdmin
	IF (%adminTest%)==(Access) GOTO errNoAdmin
REM ----------------------------------------------------------------------------------------

ECHO Нажимте 1 для очистки журналов или ENTER для выхода
ECHO.
SET /p doset="Выберите действие: " 
ECHO.
REM ----------------------------------------------------------------------------------------

REM ----------------------------------------------------------------------------------------
REM Проверка выбора пользователя. Если не 1 - выход
IF %doset% NEQ 1 EXIT

REM ------------------------------------------------------------------------------------------
REM Очистка всех журналов Windows. Следует проводить вначале, до запуска CCleaner, чтоб в логах не осталось вызовов wevtutil

ECHO.
ECHO ОЧИСТКА ВСЕХ ЖУРНАЛОВ Windows
FOR /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")
ECHO.
ECHO Выполнено
ECHO.

REM ------------------------------------------------------------------------------------------

PAUSE
EXIT

:do_clear
ECHO Очистка журнала %1
wevtutil.exe cl %1
GOTO :eof

:errNoAdmin
COLOR 4
ECHO Необходимо запустить этот скрипт от имени администратора
ECHO.
PAUSE

На всякий случай, перед первым запуском, надо создать точку восстановления

Можно дополнительно почитать развернутое и понятное описание всех основных правил CCleaner-а и последствий их применения, тут (рус.)

Запустить bat-файл. Дождаться, пока закончит работу.

Открыть ССleaner, перейти в нем в «Очистку».

Выполнить очистку.

2 вариант — Использовать bat-файл

REM Last-ик ActivityView. Версия 1 Alpha

@ECHO OFF

REM Надеюсь, сохранить файл в кодировке DOS-866 не забыли
CHCP 866

REM Зеленый на черном - интригующе... опять же, хакеры и все такое
COLOR A

CLS


REM ----------------------------------------------------------------------------------------
REM Проверка на наличие прав администратора 
FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V
	IF (%adminTest%)==(Отказано) GOTO errNoAdmin
	IF (%adminTest%)==(Access) GOTO errNoAdmin
REM ----------------------------------------------------------------------------------------


REM !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

REM При выборе пункта 1 ничего особо плохого произойти, для пользователя, не должно.
REM Но будут удалены сохраненные данные о размерах окон папок в проводнике и настройки их вида (списокэскизы и т.д.)

REM При выборе п.п. 2-3
REM 1. При первой перезагрузке чуть-чуть замедлится запуск Windows т.е. первый, после нее, запуск некоторых программ (в т.ч. в автозагрузке)
REM    из-за удаления файлов оптимизации запуска Prefetch и SuperFetch
REM 2. Будет удалена информация о запуске программ в режиме совместимости или о запуске от имени администратора
REM    но это - если пользователь такое назначал для чего-то и восстанавливается назначением этого заново
REM    или найдите и уберите из скрипта удаление данных из ...AppCompatFlagsLayers
REM 3. Будет удалена накопленная до этого момента информация о производительности и ошибках
REM    но, если в текущий момент с компом все нормально и его не надо "анализировать и чинить", то тоже ничего страшного

REM !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

REM ----------------------------------------------------------------------------------------
REM Меню выбора пользователя

ECHO.
ECHO Не обязательно!
ECHO но желательно закрыть все программы и данный файл, если он открыт в текстовом редакторе, а после завершения - перезагрузиться
ECHO.
ECHO.

REM Часть информации останется, и будет таки отображаться в утилитах NirSoft
ECHO 1 - Очистка основных логов в реестре

REM Удалить все, что удалось найти. 
REM (почти вся информация из утилит NirSoft пропадет)
REM При этом:
REM 1. Немного замедлится следующая загрузка ПК и первый, после нее, запуск некоторых программ (из-за удаления Perfect и SuperFetch)
REM 2. Удалятся сведения о ранее возникших ошибках (Minidump)
REM 3. В меню "Пуск" очистится список ранее запущенных программ
REM 4. Будет очищен список тех программ, для которых пользователь задал "запускать в режиме совместимости или от имени администратора". 
REM	  (надо будет задавать для них совместимость заново)
ECHO 2 - Очистка всех логов в реестре, файлов Perfect и Minidump

REM См. п.2 + сотрутся ранее записанные данные журналов Windows
ECHO 3 - Очистка всех логов, файлов Perfect и журналов Windows

ECHO или нажмите ENTER для выхода
ECHO.
SET /p doset="Выберите действие: " 
ECHO.
REM ----------------------------------------------------------------------------------------


REM ----------------------------------------------------------------------------------------
REM Проверка выбора пользователя. Если не 1 и не 2 и не 3 - выход
IF %doset% NEQ 1 (
	IF %doset% NEQ 2 (
		IF %doset% NEQ 3 EXIT
	)
)
REM ----------------------------------------------------------------------------------------


REM ------------------------------------------------------------------------------------------
REM Очистка всех журналов Windows, если пользователь выбрал в меню 3. Проводим вначале, чтоб в логах не осталось вызовов wevtutil
REM утилиты NirSoft - LastActivityView
IF %doset% EQU 3 (
	ECHO.
	ECHO ОЧИСТКА ВСЕХ ЖУРНАЛОВ Windows
	FOR /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")
	ECHO.
	ECHO Выполнено
	ECHO.
)
REM ------------------------------------------------------------------------------------------


REM ------------------------------------------------------------------------------------------
REM ShellBag. История запуска приложений и доступа к папкам, связанная с "оболочкой"
REM утилиты NirSoft - LastActivityView, ExecutedProgramsList, ShellBagsView
ECHO.
ECHO ОЧИСТКА ИСТОРИИ ShellBag - реестр
REG DELETE "HKEY_CURRENT_USERSoftwareClassesLocal SettingsSoftwareMicrosoftWindowsShellMuiCache" /va /f
REG DELETE "HKEY_CURRENT_USERSoftwareClassesLocal SettingsSoftwareMicrosoftWindowsShellBagMRU" /f
REG DELETE "HKEY_CURRENT_USERSoftwareClassesLocal SettingsSoftwareMicrosoftWindowsShellBags" /f
REG DELETE "HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellBagMRU" /f
REG DELETE "HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellBags" /f
ECHO.
REM ------------------------------------------------------------------------------------------


REM ------------------------------------------------------------------------------------------
REM Explorer. История запуска приложений связанная с "Проводником"
ECHO.
ECHO ОЧИСТКА ИСТОРИИ Explorer - реестр
REG DELETE "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU" /va /f
ECHO.
REM ------------------------------------------------------------------------------------------


REM ------------------------------------------------------------------------------------------
REM ComDlg32. История диалогов "открытьсохранить" и "последних мест посещений"
REM утилиты NirSoft - LastActivityView
ECHO.
ECHO ОЧИСТКА ИСТОРИИ OpenSave и LastVisited - реестр
REG DELETE "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32FirstFolder" /va /f
REG DELETE "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32LastVisitedPidlMRU" /va /f
REG DELETE "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32LastVisitedPidlMRULegacy" /va /f
REM (утилиты NirSoft - OpenSaveFilesView)
REG DELETE "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSavePidlMRU" /f
REG ADD "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSavePidlMRU"
ECHO.
REM ------------------------------------------------------------------------------------------


REM ------------------------------------------------------------------------------------------
REM если пользователь выбрал в меню не 1 т.е. 2 или 3
IF %doset% NEQ 1 (	
	REM UserAssist. Очистка списока запущенных программ в меню "Пуск"
	REM утилиты NirSoft - UserAssistView
	ECHO.	
	ECHO ОЧИСТКА ИСТОРИИ UserAssist - реестр
	REG DELETE "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist" /f
	REG ADD "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist"
	ECHO.
)


REM ------------------------------------------------------------------------------------------
REM AppCompatCache
ECHO.
ECHO ОЧИСТКА ИСТОРИИ AppCompatCache - реестр
REG DELETE "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerAppCompatCache" /va /f
REG DELETE "HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSession ManagerAppCompatCache" /va /f
ECHO.
REM ------------------------------------------------------------------------------------------


REM ------------------------------------------------------------------------------------------
REM DiagnosedApplications. Диагностика утечек памяти в приложении ОС Windows
ECHO.
ECHO ОЧИСТКА ИСТОРИИ DiagnosedApplications - реестр
REG DELETE "HKEY_LOCAL_MACHINESOFTWAREMicrosoftRADARHeapLeakDetectionDiagnosedApplications" /f
REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftRADARHeapLeakDetectionDiagnosedApplications"
ECHO.
REM ------------------------------------------------------------------------------------------


REM ------------------------------------------------------------------------------------------
REM Получение SID - идентификатор безопасности текущего пользователя 
FOR /F "tokens=2" %%i IN ('whoami /user /fo table /nh') DO SET usersid=%%i
REM ------------------------------------------------------------------------------------------


REM ------------------------------------------------------------------------------------------
REM Search. История поиска 
ECHO.
ECHO ОЧИСТКА ИСТОРИИ Search - реестр
	REG DELETE "HKEY_USERS%usersid%SoftwareMicrosoftWindowsCurrentVersionSearchRecentApps" /f
	REG ADD "HKEY_USERS%usersid%SoftwareMicrosoftWindowsCurrentVersionSearchRecentApps"
ECHO.
REM ------------------------------------------------------------------------------------------


REM ------------------------------------------------------------------------------------------
REM BAM. 
REM По идее, при перезагрузке затрется само.  
REM Но можно сделать отдельный bat и запускать, например, после работы с portable-приложениями
ECHO.
ECHO ОЧИСТКА ИСТОРИИ службы Background Activity Moderator - реестр
REG DELETE "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesbamUserSettings%usersid%" /va /f
REG DELETE "HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesbamUserSettings%usersid%" /va /f
ECHO.
REM ------------------------------------------------------------------------------------------


REM ------------------------------------------------------------------------------------------
REM AppCompatFlags
ECHO.
ECHO ОЧИСТКА ИСТОРИИ AppCompatFlags - реестр
REM утилиты NirSoft - ExecutedProgramsList
REG DELETE "HKEY_USERS%usersid%SoftwareMicrosoftWindows NTCurrentVersionAppCompatFlagsCompatibility AssistantStore" /va /f

REM если пользователь выбрал в меню не 1 т.е. 2 или 3
IF %doset% NEQ 1 (
	REM Список программ, для которых задан "режим совместимости" или "запускать от имен администратора"
	REM утилиты NirSoft - AppCompatibilityView
	REG DELETE  "HKEY_USERS%usersid%SoftwareMicrosoftWindows NTCurrentVersionAppCompatFlagsLayers" /va /f
)
ECHO.
REM ------------------------------------------------------------------------------------------


REM ------------------------------------------------------------------------------------------
REM История "монтирования" дисков в т.ч. и TrueCrypt
ECHO.
ECHO ОЧИСТКА ИСТОРИИ MountedDevices - реестр
ECHO.
REG DELETE "HKEY_USERS%usersid%SoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2" /f
REG ADD "HKEY_USERS%usersid%SoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2"
ECHO.
REM ------------------------------------------------------------------------------------------


REM ------------------------------------------------------------------------------------------
REM Очистка списков быстрого перехода
ECHO.
REM утилиты NirSoft - JumpListsView, RecentFilesView
ECHO ОЧИСТКА ИСТОРИИ Recent - файловая система
DEL /f /q %APPDATA%MicrosoftWindowsRecent*.*
DEL /f /q %APPDATA%MicrosoftWindowsRecentCustomDestinations*.*
DEL /f /q %APPDATA%MicrosoftWindowsRecentAutomaticDestinations*.*
ECHO Выполнено
ECHO.
REM ------------------------------------------------------------------------------------------

REM ------------------------------------------------------------------------------------------
ECHO.
ECHO ОЧИСТКА ИСТОРИИ Panther - файловая система
DEL /f /q %systemroot%Panther*.*
ECHO Выполнено
ECHO.
REM ------------------------------------------------------------------------------------------

REM ------------------------------------------------------------------------------------------
ECHO.
ECHO ОЧИСТКА ИСТОРИИ AppCompat - файловая система
DEL /f /q %systemroot%appcompatPrograms*.txt
DEL /f /q %systemroot%appcompatPrograms*.xml
DEL /f /q %systemroot%appcompatProgramsInstall*.txt
DEL /f /q %systemroot%appcompatProgramsInstall*.xml
ECHO Выполнено
ECHO.
REM ----


REM ------------------------------------------------------------------------------------------
IF %doset% NEQ 1 (
	ECHO.
	REM Prefetch. Удаление файлов, оптимизирующих запуск приложений. Windows в следующий раз загрузится медленнее
	REM утилиты NirSoft - LastActivityView, ExecutedProgramsList
	ECHO ОЧИСТКА ИСТОРИИ Prefetch - файловая система
	DEL /f /q %systemroot%Prefetch*.pf
	DEL /f /q %systemroot%Prefetch*.ini
	DEL /f /q %systemroot%Prefetch*.7db
	DEL /f /q %systemroot%Prefetch*.ebd
	DEL /f /q %systemroot%Prefetch*.bin
	REM SuperFetch. Удаление баз оптимизации SuperFetch
	DEL /f /q %systemroot%Prefetch*.db
	REM Trace. Удаление файлов трассировки
	DEL /f /q %systemroot%PrefetchReadyBoot*.fx
	ECHO Выполнено
	ECHO.

	ECHO.
	ECHO ОЧИСТКА ИСТОРИИ Minidump - файловая система
	REM Удаление дампов ошибок
	REM утилиты NirSoft - LastActivityView
	DEL /f /q %systemroot%Minidump*.*
	ECHO Выполнено
)
ECHO.
REM ------------------------------------------------------------------------------------------


PAUSE
EXIT

:do_clear
ECHO Очистка журнала %1
wevtutil.exe cl %1
GOTO :eof

:errNoAdmin
COLOR 4
ECHO Необходимо запустить этот скрипт от имени администратора
ECHO.
PAUSE

Финал

После использования первого или второго варианта можно запустить утилиты NirSoft, для того, чтоб посмотреть, достигли ли мы желаемого эффекта.

Профит… Теперь, главное, покормить собак и ничего не трогать. А то она опять начнет оперу писать…

Возможные сценарии использования решений bat и CCleaner

1. Использовать по отдельности. Тем более, что затирать журналы имеет смысл уж совсем в «приватных случаях»
2. Сделать единый bat-файл, который сначала затирает журналы, а вместо всего остального — вызывает CCleaner, то есть, после стирания журналов, поставить вызов: «C:Program FilesCCleanerCCleaner64.exe» /AUTOS
3. Поставить этот bat-файл в автозагрузку (что, вероятно, заодно решит проблему с запуском CCleaner на Windows 10)
4. Поставить bat-файл на момент завершения работы Windows, что правильнее в смысле «заметания следов». Через редактор групповых политик gpedit.msc — «Конфигурация компьютера» — «Конфигурация Windows» — «Сценарии (запуск/завершение)» — параметр «Завершение работы».

Источники

1. Утилита Procmon из состава SysinternalsSuite имени Марка Руссиновича, c которой нередко все тайное — становится явным… В том числе и куда обращаются утилиты NirSoft. Его блог на тему использования утилит (рус.).
2. Статьи Windows registry and forensics: часть 1 и часть 2. (анг.)
3. Статьи блога Компьютерная криминалистика (форензика) сайта CodeBy. Цикл статей Forensics Windows Registry (рус.).
4. Статья Очистка журналов Windows (анл.).
5. Статья Cоздание собственных правил CCleaner (анг.).

Кстати, а почему Forensic resistance 1?

Сие станет понятно, если дело когда-нибудь дойдет до 2.

Три способа очистить журнал событий в Windows 10

П ри анализе неполадок в работе Windows администраторами нередко используются сведения из системного журнала, в который автоматически записываются все более или менее важные события. Журнал Windows хранит много полезных сведений, тем не менее, у вас может возникнуть необходимость его очистить. Сделать это можно несколькими способами. Удаление записей журнала вручную используется чаще всего, так как позволяет очищать конкретные разделы.

Ручная очистка

Здесь всё предельно просто. Откройте через меню Пуск оснастку событий, разверните журнал и, кликнув правой кнопкой на нужный раздел, выберите в меню опцию «Очистить журнал…».

Данные будут удалены.

С помощью командной строки

Для быстрой очистки всех разделов сразу можно использовать командную строку. Запустите консоль от имени администратора и выполните в ней такую команду:

После нажатия Enter вы увидите, как удаляются записи.

Эта команда очищает журнал полностью, впрочем, с помощью командной строки можно также можно очистить конкретный журнал.

Сначала командой wevtutil el|more выведите список доступных журналов.

Выберите нужный и очистите его, выполнив команду следующего вида:

NameLog в данном случае — имя очищаемого журнала.

Его нужно будет заменить реальным именем, взятым из полученного ранее списка.

С помощью PowerShell

За исключением пары-тройки записей, к которым вы не имеете прямого доступа, всё содержимое журнала Windows будет полностью удалено.

2 комментария

Привет! команда для cmd отлично работает вручную, но если запихнуть в батник то не работает, пишет «непредвиденное появление in» 🙁

Ох, поспешил 🙂 Нашёл ответ, в батниках нужно двойной процент писать.

Источник

3 способа быстрой очистки всех журналов событий в Windows 10

Средство просмотра событий – это встроенное приложение Windows, которое позволяет просматривать все важные события, происходящие на вашем компьютере. В этом руководстве мы покажем вам 3 способа быстрой очистки всех журналов событий в средстве просмотра событий Windows 10.

Очистить журнал событий Windows с помощью средства просмотра событий

1. В строке поиска или в меню “Выполнить” (Win+R) введите eventvwr и нажмите Enter.

2. Откройте “Журнал Windows” => нажмите на журнал, который вы хотите очистить, правой кнопкой мыши и выберите “Очистить журнал”.

3. Вы можете просто очистить журнал нажав на “Очистить” или очистить его, предварительно куда-то сохранив копию – нажав на “Очистить и сохранить”.

Очистить журналы событий Windows с помощью командной строки

2. Чтобы очистить все журналы сразу, вставьте в командную строку for /F “tokens=*” %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl “%1” и нажмите Enter.

Очистить журналы событий Windows с помощью PowerShell

1. Откройте PowerShell от имени администратора.

На сегодня все, если вы знаете другие способы – пишите в комментариях! Удачи Вам 🙂

Источник

Журнал событий в Windows 10: где найти, как зайти и как очистить

Многие пользователи ПК даже не догадываются о наличии на их устройстве очень полезного дополнения. Оно фиксирует все события, происходящие в ОС. А ведь считывание и запись данных происходит даже в период отсутствия активности со стороны человека. Журнал событий в Windows 10 предоставляет пользователю возможность ознакомиться с ошибками, предупреждениями и прочей немаловажной информацией.

В некоторых случаях анализ этих данных может значительно облегчить поиск причин возникновения неисправностей. А это важный шаг на пути к их устранению и даже предупреждению. Конечно, к подобным манипуляциям чаще прибегают владельцы серверов. Однако рядовому пользователю изучение истории также может быть полезным.

Общие сведения про журнал событий

Чисто физически журнал является набором файлов с расширением .evtx. Они содержат текстовые данные и хранятся в системной папке:

Но открыть их одним из текстовых редакторов не представляется возможным. Для изучения их содержимого в ОС системе предусмотрена специальная утилита «eventvwr».

Как зайти в журнал событий в Windows 10

Запуск утилиты осуществляется несколькими способами. Первый подразумевает использование окна «Выполнить». Для этого необходимо:

А второй требует использования панели управления, где требуется:

Попав в журнал событий в Windows 10, можно приступить к разбору его интерфейса.

В левой колонке расположены журналы событий. Они уже отсортированы по разделам. Что облегчает работу пользователя. Наибольший интерес представляет раздел «Журналы Windows», состоящий из категорий:

По центру утилиты расположено два окна. Первое отображает произошедшие события. А второе подробную информацию о каждом из них. Правая же колонка содержит рабочие инструменты журнала.

Нюансы работы в журнале событий

Число обозреваемых событий может исчисляться тысячами и даже десятками тысяч. Для создания комфортных условий работы журнал событий в Windows 10 оснащен встроенным фильтром. Он позволяет отсортировать имеющуюся информацию по:

Но найти в журнале необходимую ошибку это полбеды. Специфичность содержащихся сведений не каждому позволит сходу понять в чём проблема. Например, пользователь может увидеть нечто вроде:

Поиск описания потребует выхода в интернет и посещения сайта Microsoft. Или иных ресурсов, предоставляющих подобную информацию.

Стоит упомянуть, что наличие ошибок – нормальное явление ОС. Любые, даже самые незначительные сбои вносятся в реестр. Так что не стоит переживать, обнаружив их в журнале.

Как очистить журнал событий в Windows 10

Среди способов, как почистить журнал событий в Windows 10, можно выделить 5 основных.

Ручная очистка журнала

Этот способ весьма прост. Он не требует специальных навыков или дополнительного софта. Все что необходимо, это:

Как вы, наверное, заметили, это самый простой способ. Однако некоторые ситуации требуют прибегнуть к иным методам.

Этот способ также позволяет быстро провести очистку. Для его реализации вам потребуется код:

Его необходимо использовать в следующем алгоритме:

После этого все отчеты будут удалены.

Очистка через командную консоль

Очистить журнал событий в Windows 10 можно и при помощи данного инструмента. Для этого потребуется:

Чистка журнала событий через PowerShell

PowerShell – более продвинутая версия командной строки. Очистка журнала событий с его помощью проводится аналогичным образом. За исключением вводимой команды. В данном случае она имеет следующий вид:

При помощи программы CCleaner

Эта прекрасная программа занимается очисткой системы Windows. В том числе и записей в журнале событий. А значит вы можете не только избавится от данных, но и ускорить работу системы. Для этого:

По завершению процедуры журнал событий будет очищен, а работа ОС оптимизирована.

Источник

Как очистить все журналы событий в Windows 10

Часто, когда вы хотите устранить проблемы или провести общую проверку работоспособности вашей системы в Windows 10, вам необходимо использовать средство просмотра событий. Средство просмотра событий показывает все регистрируемые события Windows, такие как информация, ошибки, предупреждения и т. Д. Помимо ошибок, Windows регистрирует совершенно нормальную деятельность. Это затрудняет выявление событий, связанных с вещами, которые не работают должным образом. Поэтому время от времени вам может потребоваться очищать журнал событий в Windows 10.

Система Журнал и Журнал приложений — два важных журнала, которые вы, возможно, захотите время от времени очищать. Есть несколько способов сделать это.

Очистить все журналы событий в Windows 10 вручную

Вы можете вручную очистить любой журнал событий щелкнув его правой кнопкой мыши и выбрав «Очистить журнал …» из контекстного меню.

Очистить все журналы событий в Windows 10 с помощью командной строки

Вы можете быстро очистить все журналы событий с помощью специальная команда. Сделайте это следующим образом.

Это даст следующий результат:

Все журналы Windows будут очищены. Вместо этого вы можете очистить отдельные журналы. Сделайте это следующим образом.

Это создаст список доступных журналов.

Обратите внимание на имя журнала, который необходимо очистить.

Замените часть log_name_here на имя журнала, который необходимо очистить. Например, это очистит журнал «Приложение»:

Как очистить все журналы событий с помощью PowerShell

Источник

Содержание статьи

Списки открытых файлов и подключенных по USB устройств, история браузера, кеш DNS — все это помогает узнать, что делал пользователь. Мы составили пошаговую инструкцию, как убрать следы своей деятельности в разных версиях Windows, Office и популярных браузерах. В конце статьи ты найдешь несколько скриптов, которые помогут тебе автоматически поддерживать чистоту на своей машине.

1. Очистка списков недавних мест и программ

Начнем уборку со списков недавних мест и программ. Список недавних (в Windows 10 — часто используемых) программ находится в главном меню, а список недавних мест — в проводнике.

Xakep #208. Атака на сигналку

Как отключить это безобразие? В Windows 7 — щелкнуть правой кнопкой мыши на кнопке «Пуск», выбрать «Свойства» и в появившемся окне снять обе галочки в разделе «Конфиденциальность».

Отключаем хранение списка последних программ в Windows 7

Далее эти строчки пригодятся нам, когда будем писать собственный скрипт для очистки системы от следов нашего пребывания в ней.

Чтобы последние файлы очищались автоматически при выходе, нужно включить политику «Очищать журнал недавно открывавшихся документов при выходе», которая находится в разделе «Конфигурация пользователяАдминистративные шаблоныМеню «Пуск» и панель задач».

Теперь переходим к Windows 10. Отключить список недавно добавленных и часто используемых приложений можно через окно «Параметры». Открой его и перейди в раздел «Персонализация», пункт «Пуск». Отключи все, что там есть.

Отключение хранения списка программ в Windows 10

Кажется, что проблема решена, но это, увы, не совсем так. Если включить эти параметры снова, то все списки в таком же составе появятся вновь. Поэтому придется отключать эту фичу через групповую политику. Открой gpedit.msc и перейди в раздел «Конфигурация пользователяАдминистративные шаблоныМеню «Пуск» и панель задач». Включи следующие политики:

Очистить недавние места в Windows 10 проще, чем в «семерке». Открой проводник, перейди на вкладку «Вид» и нажми кнопку «Параметры». В появившемся окне отключи параметры «Показывать недавно использовавшиеся файлы на панели быстрого доступа» и «Показывать часто используемые папки на панели быстрого доступа». Не забудь нажать кнопку «Очистить».

Параметры папок Windows 10

Как видишь, у такой простой задачи, как очистка последних объектов, довольно непростое решение. Без редактирования групповых политик — никуда.

2. Очистка списка USB-накопителей

На некоторых режимных объектах к компьютеру разрешено подключать только флешки, зарегистрированные в журнале. Причем, как водится, журнал самый что ни на есть обычный — бумажный. То есть сам компьютер никак не ограничивает подключение незарегистрированных накопителей. Не ограничивает, зато протоколирует! И если при проверке обнаружат, что пользователь подключал незарегистрированные накопители, у него будут проблемы.

Мы ни в коем случае не советуем тебе пытаться украсть военные секреты, но умение очищать список недавно подключавшихся накопителей может пригодиться и в других жизненных ситуациях. Чтобы сделать это, загляни в следующие разделы реестра:

Вот они — все накопители, которые ты подключал к своему компу.

Раздел реестра с историей подключения накопителей

Казалось бы, нужно просто взять и все почистить. Но не тут-то было! Во-первых, разрешения на эти ветки реестра установлены таким образом, что ты ничего не удалишь даже в «семерке», не говоря уже о «десятке».

Во-вторых, назначать права и разрешения вручную долго, особенно если накопителей много. В-третьих, права админа не помогут. Скриншот выше был создан, когда я выполнял операцию удаления как раз с правами админа. В-четвертых, кроме этих двух разделов, нужно почистить еще длинный список разделов. Причем их нужно не просто удалять, а грамотно редактировать.

Если тебе по каким-то причинам понадобится сделать все вручную, то ищи по ключевым словам MountPoints, MountedDevices DeviceClasses и RemovableMedia. Но куда проще использовать готовую программу, которая сделает все за тебя. На некоторых форумах для этого рекомендуют USBDeview. Однако я ее протестировал и заявляю, что она вычищает информацию далеко не из всех нужных разделов. USBSTOR и USB продолжают содержать информацию о подключавшихся носителях.

Программа не только чистит реестр, но и выводит подробный лог своих действий (см. ниже). Когда она завершит работу, не останется никаких упоминаний о подключении накопителей к компьютеру.

USB Oblivion в действии

3. Очистка кеша и истории браузеров

Третий пункт в нашем туду — очистка кеша и журнала браузеров. Тут сложностей никаких — каждый браузер позволяет сбросить список недавно посещенных сайтов.

Edge. Очистить список загруженных файлов и все журналы можно с помощью «Концентратора». Просто щелкни соответствующие ссылки. При очистке журнала нужно выбрать все чекбоксы и нажать кнопку «Очистить».

«Концентратор» Генеральная уборка в Edge

Firefox. Открой настройки, перейди в раздел «Приватность», нажми ссылку «Удалить вашу недавнюю историю», выбери «Все», нажми кнопку «Удалить сейчас».

Chrome. Нажми Ctrl + Shift + Del, на появившейся странице выбери очистку за все время, отметь все чекбоксы и нажми кнопку «Очистить историю».

Opera. Выбери «Меню (Opera) → Настройки → Удалить личные данные». Принцип тот же — выбираем все, нажимаем кнопку «Удалить».

IE. Да кто его использует? Если что, рекомендации ты найдешь на сайте Microsoft.

В результате ты не только сотрешь следы, но и слегка освободишь диск. Чтобы не чистить заново, можешь продолжить пользоваться браузером в режиме инкогнито. Конечно, админ при желании заметит лог на шлюзе, но на твоем компьютере все будет чисто. Оптимальное решение — использовать Tor. В этом случае даже админ не увидит, какие сайты ты посещаешь (при условии, что за твоей спиной нет камеры наблюдения).

Если ты используешь не один браузер, а несколько и чистить нужно периодически, то можно использовать одну из специализированных утилит. Я протестировал Free History Eraser, и результат оказался средним: что-то почищено, что-то нет (журнал Edge, к примеру, остался нетронутым). Так что в важных случаях не забывай проверить вручную.

Free History Eraser

4. Удаляем записи DNS

5. Очистка Flash Cookies

За тобой следят все кому не лень. Даже Flash — и тот отслеживает твои посещения. Flash Cookies собираются в каталоге %appdata%MacromediaFlash Player#SharedObjects. Что с ним сделать, ты уже догадался — удалять к такой-то матери. Для скриптования этого процесса пригодятся вот эти две строчки:

6. Удаление списка последних документов Microsoft Office

Для удобства пользователей список последних документов хранят все программы офисного пакета. Чтобы пресечь это безобразие, в новых версиях Office нужно в параметрах перейти в раздел «Дополнительно», установить число последних документов равным единице (обрати внимание — на скриншоте есть два параметра, которые нужно поменять на единицу). Значение 0 программа установить не позволит, поэтому последним нужно будет открыть какой-нибудь безобидный файл.

Параметры Word 2016

7. Автоматизируем очистку с помощью спецсофта

Обрати внимание, что нам нужна именно версия CCleaner Desktop, а не CCleaner Cloud. Последняя стоит денег, и ее набор функций значительно шире, чем нам нужно. Переходим по ссылке и выбираем версию Free.

Чем мне нравится CCleaner — так это тем, что он:

Пользоваться программой проще простого — выбери те элементы, которые хочешь очистить, и нажми кнопку «Очистка».

Есть и еще одна программа для очистки всей системы — Windows Cleaner. Правда, на ее сайте указано, что она поддерживает только системы до Windows 8 включительно. Действительно, в Windows 10 программа не работала так, как нужно (во всяком случае, с очисткой журнала Edge она не справилась). Но на более старых «Окнах» она вполне имеет право на существование.

8. Реальное удаление файлов

Все мы знаем, что при удалении файл на самом деле не стирается. Удаляется только запись о нем, а сами данные все еще продолжают существовать где-то на диске. Поэтому для полного удаления информации нужно использовать специальные утилиты, которые затирают свободное пространство диска нулями или случайными данными. После этого восстановить файлы не получится. В предыдущих шагах мы уже много чего удаляли, поэтому самое время затереть свободное пространство, чтобы нельзя было восстановить вообще ничего.

Существует много утилит для затирания информации. Но мы будем использовать то, что уже у нас есть, а именно CCleaner. Зайди в «Сервис → Стирание дисков», выбери диск, который хочешь очистить от недобитых файлов, укажи стирать «Только свободное место» и задай способ стирания. Приложение поддерживает несколько стандартов стирания — от самого простого, подразумевающего одну перезапись, до метода Гутмана (35 проходов).

Стирание свободного места

Из конкурентов CCleaner интересна, к примеру, программа BCWipe — она может не только стирать свободное пространство, но и удалять файл подкачки, который также может содержать конфиденциальную информацию. BCWipe стоит денег, но для одноразового стирания подойдет и trial-версия.

9. Создаем bat-файл для очистки всего

Теперь попытаемся автоматизировать некоторые описанные ранее операции. Начнем с удаления файлов из каталога Recent. Удалять командой del, как было показано выше, можно, но лучше сразу использовать CCleaner для безопасного удаления.

К сожалению, CCleaner нельзя вызвать так, чтобы он почистил в режиме командной строки все свободное пространство, поэтому придется удалять файлы через него, а не командой del или же использовать команду del, а потом вручную запустить его и вызвать очистку свободного пространства. Последний параметр (1) означает удаление с тремя проходами. Это оптимальный режим, поскольку с одним проходом (0) — слишком просто, а все остальные — слишком долго. С полным перечнем параметров командной строки CCleaner можно ознакомиться на сайте разработчиков.

Из командной строки можно чистить и список USB-накопителей при помощи USB Oblivion:

Далее нужно запустить CCleaner с параметром /AUTO для автоматической очистки по умолчанию. Это не очистит кеш DNS, так что придется сделать это вручную:

В итоге у нас получился вот такой сценарий:

10. Создаем AutoHotkey-скрипт для очистки всего

Теперь напишем еще один скрипт. Он будет открывать браузер Chrome в режиме инкогнито, а после окончания сессии (будет задан WinWaitClose) запускать CCleaner для автоматической очистки — будет удален кеш браузера и временные файлы. После этого очистим еще и кеш DNS.

Источник

Окт 26, 2016 23:14

Очистить журналы событий в Windows

В сегодняшней статье рассмотрим различные способы очистки всех журналов событий в Windows.

Открыв «Просмотр событий» вы можете увидеть различные журналы Windows, в которых находятся разные предупреждения, ошибки приложений и системы, информационные сообщения. Бывало, что обычный пользователь не мог войти в систему из-за того, что журнал безопасности переполнен. В таком случае можно было войти в систему пользователем с правами администратора, очистить журнал и в его свойствах поставить затирание по необходимости.

 Очистить все журналы просмотра событий в командной строке

1. Откройте командную строку от имени администратора: один из способов — нажать на меню «Пуск» правой клавишей мыши и выбрать «Командная строка (администратор)» из открывшегося меню.

2. Введите команду for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1» и нажмите клавишу Enter. По завершению очистки закройте командную строку.

Очистить все журналы просмотра событий в PowerShell

1. Откройте PowerShell: один из способов — в строке поиска ввести powershell и выбрать его из найденных результатов.

2. Введите команду Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log } и нажмите клавишу Enter.

Очистить журнал событий в «Просмотр событий»

1.В строке поиска или в меню выполнить (выполнить вызывается клавишами Win+R) введите команду eventvwr.msc и нажмите клавишу Enter.

2. Нажмите на журнал, который вы хотите очистить, правой клавишей мыши и выберите «Очистить журнал».

3. Вы можете просто очистить журнал нажав на «Очистить» и очистить его, предварительно куда-то сохранив копию — нажав на «Очистить и сохранить».

На сегодня всё, если вы знаете другие способы пишите комментарии! Удачи Вам 🙂

vynesimozg.com

Для чего нужен журнал событий в Windows 10

Здравствуйте. Многие не знают о просмотре событий ОС. А ведь именно они отображают критические ошибки и другую важную информацию как для владельцев серверов, так и для обычных пользователей. Рекомендую ознакомиться с этой важной темой и узнать, где найти журнал событий в Windows 10, как им пользоваться.

Данная служба предназначена для регистрации всего происходящего на ПК. В журнал записываются сообщения, предупреждения, ошибки в работе приложений, драйверов. Регулярный просмотр истории позволит выявить «дыры» в защите, что особенно актуально для серверов.

Как запустить?

Самый простой способ – ввести в поиске Windows фразу «просмотр событий». Но если у Вас отключено индексирование, то результата не будет. Тогда следует открыть «Панель управления» и перейти к разделу «Администрирование», в котором и находится нужный пункт.

Все данные разделены на группы. К примеру, в журнале приложений можно просмотреть сообщения, исходящие от установленного софта. А знаете, как посмотреть системные происшествия ОС? Они отображаются в журнале Windows, что вполне логично.

Изначально, этот инструмент разрабатывался для администраторов, которым нужно постоянно вести мониторинг за состоянием серверов, выявлять ошибки, причины их проявления.

Не стоит пугаться, если с Вашим ноутбуком всё хорошо, но в событиях числится определенное количество предупреждений. Это вполне нормальное явление даже для оптимизированного ПК. Даже незначительные сбои, которые Вы могли не заметить, будут внесены в «реестр». Так что, не стоит переживать по этому поводу.

Как пользоваться?

Многие компьютерные «гуру» считают, что не стоит обычным юзерам погружаться в тему, которая им не пригодится. Лично я уверен, что этот инструмент может оказаться полезным в некоторых ситуациях. Например, перед Вами возникает «синий экран смерти» или система самостоятельно уходит на перезагрузку. Почему так происходит? Ответ можно найти в журнале событий. Если сбой вызван обновлением драйвера, то будет указано проблемное оборудование и пути «выхода из кризиса».

Чтобы проще было искать нужный отчет, следует запомнить точное время возникновения критической ситуации.

Еще одним важным моментом является запись процесса загрузки ОС (указывается длительность, начало и время окончания). Кроме того, можно привязать к выключению ПК необходимость ввода причины, которая потом будет отображаться в журнале. Это хорошая практика для владельцев серверов, которым важны любые детали.

Как почистить журнал событий

Для чистки журнала я знаю три способа, через созданный исполняемый *.bat (называем его «батник») файл или через консоль cmd или через консоль PowerShell.

Привиду все три примера в реализации.

Метод 1: через bat файл.

Создаем текстовый файл и вставляем в него код, который расположен ниже. Затем переименовываем расширение txt в bat, и все готово к запуску.

@echo off FOR /F «tokens=1,2*» %%V IN (‘bcdedit’) DO SET adminTest=%%V IF (%adminTest%)==(Access) goto theEnd for /F «tokens=*» %%G in (‘wevtutil.exe el’) DO (call :do_clear «%%G») goto theEnd :do_clear echo clearing %1 wevtutil.exe cl %1 goto :eof :theEnd

Важно помнить, что запускать файл надо от имени администратора, для этого нажимать на файл правый кнопкой и выбрать «запустить как администратор».

Для тех, кому лень создавать такой файл, то можно его скачать ниже.

Скачать: Очистка журнала событий Скачано: 296, размер: 2 Кб, дата: 21.Окт.2016

Метод 2: через командую строку cmd

Запускаем командную строку — для этого ждем клавиши правой кнопкой мыши на меню пуск и выбираем запустить консоль от имени администратора.

В консоль вставляем следующий код: for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

Ждем не много и все отчеты становятся пустыми.

Метод 3: через PowerShell

Запускаем PowerShell от имени администратора и вводим следующую команду: wevtutil el | Foreach-Object {wevtutil cl «$_»}

Смотрим как у меня:

И жмем: Enter

В конце выйдет ошибка, не пугайтесь. Это нормально. Журнал событий будет очищен.

На скрине показано, как можно привязать определенную задачу к событию. То есть, если что-то происходит, то включается обработчик и начинается выполнение указанной задачи. Описаны методы очистки событий. Не знаю, пригодится ли Вам это?

Согласен, тема не такая динамичная и захватывающая, как борьба с вирусами или восстановление системы с флешки. Но даже если этот материал хотя бы раз окажется полезным для Вас, значит, не зря я старался!

С уважением, Виктор

it-tehnik.ru

Просмотр журналов событий Windows 10

 Привет ! Мы продолжаем разбирать операционную систему Windows 10 ! Сегодня вы узнаете как посмотреть журнал событий на компьютере Windows 10. Вы сможете просматривать сводку административных событий, недавно просмотренные узлы, сводку журнала. Чтобы просмотреть журнал событий, внизу экрана слева откройте меню «Пуск». В открывшемся окне, в списке всех приложений, внизу списка, откройте вкладку «Служебные Windows». В открывшемся списке нажмите на вкладку «Панель управления».

Далее, на странице «Панель управления» нажмите на вкладку «Система и безопасность».

Далее, на странице «Система и безопасность», внизу, нажмите на вкладку «Просмотр журналов событий».

Далее, у вас откроется окно «Просмотр событий». Здесь вы сможете просматривать:

— Сводку административных событий.

— Недавно просмотренные узлы.

— Сводку журнала.

Вверху страницы слева вы можете открыть и просмотреть:

— Настраиваемые представления.

— Журналы Windows.

— Журналы приложений и служб.

— Подписки.

Остались вопросы ? Напиши комментарий ! Удачи !

Просмотр журналов событий Windows 10 обновлено: Февраль 17, 2017 автором: Илья Журавлёв

info-effect.ru

Как узнать кто почистил журнал просмотра событий Windows

Как узнать кто почистил журнал событий Windows

Всем привет сегодня расскажу как узнать кто почистил журнал событий в Windows, на компьютере или сервере. Для начала вспомним, что такое Просмотр событий Windows. Просмотр событий — это средство, предназначенное для просмотра подробных сведений о значимых событиях, которые возникают в системе (например, ненадлежащий запуск программ или обновлений, загружаемых автоматически). Эти сведения могут быть полезны для устранения неполадок и ошибок в ОС Windows и других программах.

В окне просмотра событий отслеживаются сведения в нескольких разных журналах. К журналам Windows относятся следующие.

• События приложений (программ). В зависимости от важности события делятся на три категории: ошибка,предупреждение или уведомление. Ошибка указывает на серьезную проблему, например потерю данных. Предупреждение указывает на событие, которое в момент записи в журнал не было существенным, но может привести к возникновению проблем в будущем. Информационное событие сообщает об успешной работе приложения, драйвера или службы.

• События, связанные с безопасностью. Такие события называются аудитами и делятся на успешные или закончившиеся с ошибкой. Они указывают, например, удалось ли пользователю войти в ОС Windows.

• События установки. Для компьютеров, которые выступают в роли контроллеров домена, здесь отображаются дополнительные журналы.

• Системные события. Системные события регистрируются Windows и системными службами Windows и подразделяются на ошибки, предупреждения и уведомления.

• Пересылаемые события. Эти события пересылаются в данный журнал другими компьютерами.

Журналы приложений и журналы служб различаются. Они включают отдельные журналы программ, запущенных на компьютере, а также более подробные журналы, которые относятся к конкретным службам Windows.

Самый простой способ узнать кто почистил логи, это как ни странно посмотреть определенное событие в самой оснастке Просмотр событий. Открываем оснастку и ищем в поиске событие в журнале Система код события 104, и видим, что Файл журнала WitnessClientAdmin очищен пользователем Admin, видно время.

Как узнать кто почистил журнал событий Windows-01

Вот так вот просто узнать кто почистил журнал событий Windows.

Материал сайта pyatilistnik.org

pyatilistnik.org

Как очистить просмотр событий с помощью PowerShell

Добрый день, Уважаемые читатели, рад, что не забываете заходить на данный блог. Сегодняшней темой будет вопрос как очистить просмотр событий с помощью PowerShell. Рассмотрим что такое просмотр событий Windows и как он помогает системному администратору посмотреть логи windows или просто пользователю диагностировать проблему.

Что такое просмотр событий

Просмотр событий это оснастка Windows, которая содержит в себе журналы Windows. В данные журналы Windows пишет различные события происходящие в системе, для того чтобы можно было аудировать их и производить диагностику проблемы.

Как открыть в просмотр событий

Зайти в оснастку Просмотр событий можно очень просто, подойдет для любой версии Windows. Нажимаете волшебные кнопки

Win+R и вводите eventvwr.msc

У вас откроется окно данной утилиты. В данном окне можно осуществлять просмотр журнала событий. Журналы событий находятся слева. По центру вы увидите свежу свобку по ошибкам и предупреждения которые произошли недавно.  По сути это логи windows, которые она пишет постоянно.

Посмотреть логи windows

Логи windows находятся в пункте Журналы Windows. Щелкаем по нему и перед вами появится поддерево журналов. Более подробно про просмотр событий я напишу отдельную статью, сегодня про очистку. Как видите у меня в журнале Приложение 35 000 записей, бывают случаи, что например на серверах где журналы более толстые, таких событий бывает под миллионы и открывание нужного журнала начинает сильно тормозить сервер. В таких случаях логи windows бэкапируют. После чего зачищают данный журнал, а логи windows подцепляют на другой тачке и изучают.

И так открываем PowerShell и вводим вот такую команду (если не знаете, то читайте как открыть powershell) для просмотра текущего количества событий в журналах просмотра событий

Get-EventLog -LogName * -PipelineVariable Log

В итоге вы получите сводку по журналам Windows, в котором сможете посмотреть общее количество записей в каждом из них.

Производим очистку просмотра событий Windows, с помощью команды. Сразу оговорюсь, что для того чтобы команда отработала открывать powershell нужно от имени Администратора.

Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }

В итоге команда отработала, и заново посмотрев состояние журналов Windows, мы видим их пустоту.

и зайдя в графическую версию данной утилиты вы увидите, так же отсутствие событий в журналах.

Цель достигнута. Так же ранее я говорил что можно почистить логи windows и с помощью скрипта, смотрите тут.

Материал сайта pyatilistnik.org

pyatilistnik.org

Смотрите также

Просмотр журналов событий Windows 10 — ТОП

 Привет ! Мы продолжаем разбирать операционную систему Windows 10 ! Сегодня вы узнаете как посмотреть журнал событий на компьютере Windows 10. Вы сможете просматривать сводку административных событий, недавно просмотренные узлы, сводку журнала. Чтобы просмотреть журнал событий, внизу экрана слева откройте меню «Пуск». В открывшемся окне, в списке всех приложений, внизу списка, откройте вкладку «Служебные Windows». В открывшемся списке нажмите на вкладку «Панель управления».

Далее, на странице «Панель управления» нажмите на вкладку «Система и безопасность».

Далее, на странице «Система и безопасность», внизу, нажмите на вкладку «Просмотр журналов событий».

Далее, у вас откроется окно «Просмотр событий». Здесь вы сможете просматривать:

— Сводку административных событий.

— Недавно просмотренные узлы.

— Сводку журнала.

Вверху страницы слева вы можете открыть и просмотреть:

— Настраиваемые представления.

— Журналы Windows.

— Журналы приложений и служб.

— Подписки.

Остались вопросы ? Напиши комментарий ! Удачи !

info-effect.ru

Журнал событий Windows 10 – что это и как его открыть

Большинство пользователей персональных компьютеров даже не знают о таком дополнении, как журнал событий. Это специальная функция для просмотра всех событий, которые происходят в установленной на ПК операционной системе. Именно в нем отображаются критические ошибки, предупреждения и прочая немаловажная информация, как для обычных пользователей, так и для владельцев серверов.

В этой статье мы подробно разберем данную тему и узнаем, что это такое, где можно посмотреть журнал событий в Windows 10 и каким образом его использовать.

Для начала стоит сказать, что эта служба регистрирует абсолютно все, что происходит на компьютере. Осуществляется запись сообщений и ошибок, в том числе в работе драйверов, приложений и программ. Путем регулярного просмотра и изучения истории можно легко выявить проблемы и слабые места в защите устройства, что особенно полезно для серверов.

Как открыть?

Найти и открыть журнал событий достаточно просто, для этого необходимо в поиске Windows 10 ввести словосочетание «Просмотр событий» и щелкнуть по нему. Но в случае если у вас деактивировано индексирование, то это попытка не принесет результата.

И как вариант можно:

• Войти в «Панель управления» и зайти в раздел «Администрирование». Здесь и будет находиться нужный нам пункт.

Вся информация будет разделена на соответствующие группы. Например, открыв журнал приложений, у вас будет возможность просмотреть все сообщения о работе программ. Абсолютно все системные происшествия, связанные с Виндовс 10, отображаются в нем.

Изначально данная служба разрабатывалась исключительно для администраторов, которые постоянно ведут мониторинг состояния серверов, выявляют ошибки и причины появления, и после чего пытаются быстро их устранить.

Не пугайтесь, если ваше устройство работает исправно, но в журнале есть предупреждения об ошибках, ведь это нормальное явление для ОС. Любые сбои, в том числе незначительные, вносятся в реестр, поэтому не стоит переживать.

Как использовать?

Большинство «профессиональных» пользователей уверены, что обычным юзерам не нужно даже погружаться в эту тему, ведь она никогда им не пригодится. Однако это вовсе не так, ведь данный инструмент невероятно полезен в отдельных ситуациях.

Например, если появляется синий экран или ваша система сама по себе перезагружается время от времени. Почему это происходит и что послужило причиной можно быстро узнать в журнале событий системы. Если ошибка связана с обновлением драйверов, то там будет указано оборудование, с которым возникает проблема, и эффективные пути для ее решения.

Для упрощения поиска нужного отчета нужно запомнить время возникновения ситуации и, исходя из временных рамок, искать ошибку.

Также еще одной важной функцией является запись загрузки операционной системы, когда указывается ее начало, окончание и длительность. Более того, к выключению компьютера можно привязать необходимость ввода причины. Она будет отображаться в нашем журнале. Это особенно полезно для администраторов серверов, ведь им важна каждая деталь.

Способы очистки

Существует пять основных способов, с помощью которых можно очистить журнал событий:

1. Ручной способ.
2. «Батник» – специальный файл с расширением «*.bat».
3. Через командную консоль «cmd».
4. Через «PowerShell».
5. Утилита CCleaner.

Давайте более подробно рассмотрим каждый из предложенных способов и узнаем, как их применять на практике.

Очистка ручным способом

В первую очередь я предлагаю рассмотреть способ самостоятельной очистки отчетов в Windows 10. Он достаточно простой и не требует использования специальных команд и установки сторонних программ.

Все что нужно, это:

1. Открыть журнал событий, как мы это делали ранее в начале статьи.
2. Нажать по нужному разделу правой мышкой и выбрать пункт «Очистить…».

Как вы видите, все предельно просто. Однако в некоторых ситуациях все же приходится пользоваться другими способами, о которых мы поговорим ниже.

Создание и использование bat файла

Еще один достаточно простой способ, который позволит быстро провести очистку. Давайте разберем его более подробно:

1. Для начала нужно создать обычный текстовый файл. Щелкаем правой мышкой по рабочему столу и выбираем «Создать» – «Текстовый документ».
2. Вставляем в него специальный код.
3. В верхнем меню выбираем «Файл – Сохранить как».
4. Указываем любое имя. В конце имени указываем расширение «.bat». В графе «Тип файла» выбираем «Все файлы» и нажимаем «Сохранить».
5. Теперь наш файл полностью готов к запуску. Щелкаем по нему правой мышкой и запускаем с правами администратора. После этого все сообщения приложений, ошибки и прочие отчеты удалятся.

Если вам лень создавать этот файл, то готовый вариант можно скачать по ссылке.

Через командную консоль

Также почистить журнал событий от ошибок, предупреждений и прочих сообщений можно через командную строку «cmd».

1. Щелкам по значку поиска и в открывшуюся строку вводим фразу «командная».
2. В результатах поиска видим «Командная строка», нажимаем по ней правой мышкой и запускаем от имени администратора.
3. Далее в консоль вставляем код, который находится внутри кавычек «for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1″», нажимаем «Enter» и ждем окончания процесса.

После этого все отчеты удалятся.

Через PowerShell

В операционной системе Windows 10 предусмотрена более подвинутая версия командной  строки — «PowerShell. Очистить журнал событий с помощью данного инструмента очень просто.

Давайте разберем все по шагам:

1. Нажать на «поиск» и ввести фразу «power». В результатах поиска отобразиться «PowerShell», нужно нажать на него правой мышкой и запускаем с правами администратора.
2. В появившееся окно вводим команду внутри кавычек «wevtutil el | Foreach-Object {wevtutil cl «$_»}», жмем «Enter» и ожидаем окончание процесса.

Скорее всего, вы столкнетесь с ошибкой, но не стоит пугаться, так как это нормально. Все разделы будут очищены.

Программа CCleaner

Широко известная программа CCleaner позволяет провести полную очистку системы, реестра от ненужных файлов и неверных записей. Благодаря этому ускоряется работа системы. Отлично функционирует на разных ОС, включая Windows 10. К тому же она имеет бесплатную версию с довольно неплохим функционалом.

1. В первую очередь ее нужно скачать, установить и запустить.
2. Переходим в раздел «Очистка» и во вкладке «Windows» устанавливаем галочку напротив нужного нам пункта.
3. Начинаем процесс.

Таким образом, мы очистим журнал событий и дополнительно оптимизируем работу Windows 10.

Данная тема не настолько динамичная и интересная как, например, восстановление системы или борьба с вредоносным программным обеспечением, но не менее важная.

Видео по теме

Профессиональная помощь

Если не получилось самостоятельно устранить возникшие неполадки,то скорее всего, проблема кроется на более техническом уровне. Это может быть: поломка материнской платы, блока питания,жесткого диска, видеокарты, оперативной памяти и т.д.

Важно вовремя диагностировать и устранить поломку,чтобы предотвратить выход из строя других комплектующих.

В этом вам поможет наш специалист.

onoutbukax.ru

Где найти журнал событий в Windows 10

Здравствуйте. Многие не знают о просмотре событий ОС. А ведь именно они отображают критические ошибки и другую важную информацию как для владельцев серверов, так и для обычных пользователей. Рекомендую ознакомиться с этой важной темой и узнать, где найти журнал событий в Windows 10, как им пользоваться.

Данная служба предназначена для регистрации всего происходящего на ПК. В журнал записываются сообщения, предупреждения, ошибки в работе приложений, драйверов. Регулярный просмотр истории позволит выявить «дыры» в защите, что особенно актуально для серверов.

СОДЕРЖАНИЕ СТАТЬИ:

Как запустить?

Самый простой способ – ввести в поиске Windows фразу «просмотр событий». Но если у Вас отключено индексирование, то результата не будет. Тогда следует открыть «Панель управления» и перейти к разделу «Администрирование», в котором и находится нужный пункт.

Все данные разделены на группы. К примеру, в журнале приложений можно просмотреть сообщения, исходящие от установленного софта. А знаете, как посмотреть системные происшествия ОС? Они отображаются в журнале Windows, что вполне логично.

Изначально, этот инструмент разрабатывался для администраторов, которым нужно постоянно вести мониторинг за состоянием серверов, выявлять ошибки, причины их проявления.

Не стоит пугаться, если с Вашим ноутбуком всё хорошо, но в событиях числится определенное количество предупреждений. Это вполне нормальное явление даже для оптимизированного ПК. Даже незначительные сбои, которые Вы могли не заметить, будут внесены в «реестр». Так что, не стоит переживать по этому поводу.

Как пользоваться?

Многие компьютерные «гуру» считают, что не стоит обычным юзерам погружаться в тему, которая им не пригодится. Лично я уверен, что этот инструмент может оказаться полезным в некоторых ситуациях. Например, перед Вами возникает «синий экран смерти» или система самостоятельно уходит на перезагрузку. Почему так происходит? Ответ можно найти в журнале событий. Если сбой вызван обновлением драйвера, то будет указано проблемное оборудование и пути «выхода из кризиса».

Чтобы проще было искать нужный отчет, следует запомнить точное время возникновения критической ситуации.

Еще одним важным моментом является запись процесса загрузки ОС (указывается длительность, начало и время окончания). Кроме того, можно привязать к выключению ПК необходимость ввода причины, которая потом будет отображаться в журнале. Это хорошая практика для владельцев серверов, которым важны любые детали.

Как почистить журнал событий

Для чистки журнала я знаю три способа, через созданный исполняемый *.bat (называем его «батник») файл или через консоль cmd или через консоль PowerShell.

РЕКЛАМА

Привиду все три примера в реализации.

Метод 1: через bat файл.

Создаем текстовый файл и вставляем в него код, который расположен ниже. Затем переименовываем расширение txt в bat, и все готово к запуску.

@echo off FOR /F «tokens=1,2*» %%V IN (‘bcdedit’) DO SET adminTest=%%V IF (%adminTest%)==(Access) goto theEnd for /F «tokens=*» %%G in (‘wevtutil.exe el’) DO (call :do_clear «%%G») goto theEnd :do_clear echo clearing %1 wevtutil.exe cl %1 goto :eof :theEnd

Важно помнить, что запускать файл надо от имени администратора, для этого нажимать на файл правый кнопкой и выбрать «запустить как администратор».

Для тех, кому лень создавать такой файл, то можно его скачать ниже.

Скачать: Очистка журнала событий

Очистка журнала событий

Скачано: 368, размер: 2 Кб, дата: 21.Окт.2016

Метод 2: через командую строку cmd

Запускаем командную строку — для этого ждем клавиши правой кнопкой мыши на меню пуск и выбираем запустить консоль от имени администратора.

В консоль вставляем следующий код:for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

Ждем не много и все отчеты становятся пустыми.

Метод 3: через PowerShell

Запускаем PowerShell от имени администратора и вводим следующую команду:wevtutil el | Foreach-Object {wevtutil cl «$_»}

Смотрим как у меня:

И жмем: Enter

В конце выйдет ошибка, не пугайтесь. Это нормально. Журнал событий будет очищен.

На скрине показано, как можно привязать определенную задачу к событию. То есть, если что-то происходит, то включается обработчик и начинается выполнение указанной задачи. Описаны методы очистки событий. Не знаю, пригодится ли Вам это?

Согласен, тема не такая динамичная и захватывающая, как борьба с вирусами или восстановление системы с флешки. Но даже если этот материал хотя бы раз окажется полезным для Вас, значит, не зря я старался!

С уважением, Виктор

it-tehnik.ru

Три способа очистить журнал событий в Windows 10

При анализе неполадок в работе Windows администраторами нередко используются сведения из системного журнала, в который автоматически записываются все более или менее важные события. Журнал Windows хранит много полезных сведений, тем не менее, у вас может возникнуть необходимость его очистить. Сделать это можно несколькими способами. Удаление записей журнала вручную используется чаще всего, так как позволяет очищать конкретные разделы.

Ручная очистка

Здесь всё предельно просто. Откройте через меню Пуск оснастку событий, разверните журнал и, кликнув правой кнопкой на нужный раздел, выберите в меню опцию «Очистить журнал…».

Данные будут удалены.

С помощью командной строки

Для быстрой очистки всех разделов сразу можно использовать командную строку. Запустите консоль от имени администратора и выполните в ней такую команду:

for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

После нажатия Enter вы увидите, как удаляются записи.

Эта команда очищает журнал полностью, впрочем, с помощью командной строки можно также можно очистить конкретный журнал.

Сначала командой wevtutil el|more выведите список доступных журналов.

Выберите нужный и очистите его, выполнив команду следующего вида:

NameLog в данном случае — имя очищаемого журнала.

Его нужно будет заменить реальным именем, взятым из полученного ранее списка.

С помощью PowerShell

Для полной очистки журнала событий Windows 10 также можно использовать PowerShell. Запустите консоль от имени администратора и выполните в ней связку двух командлетов:

wevtutil el | Foreach-Object {wevtutil cl «$_»}

За исключением пары-тройки записей, к которым вы не имеете прямого доступа, всё содержимое журнала Windows будет полностью удалено.

www.white-windows.ru

Журнал событий в системе Windows 10 | FixforPC

Операционные системы семейства Майкрософт отслеживают все важные события, которые происходят в процессе работы той или иной системы. О таких событиях делается запись в специальном системном журнале. Какие конкретно события фиксируются? Например, одно из служебных приложений перестало запускаться, произошел сбой в работе программы, какое-то устройство перестало корректно работать и т. д. Журнал отображает подобные события в хронологическом порядке, чтобы их можно было легко найти и устранить возникшую проблему.

Что дает пользователю использование журнала?

Изначально журнал событий предназначался исключительно для системных администраторов, постоянно отслеживающих работу серверов. Но и обычный пользователь может извлечь пользу от журнала в определенных ситуациях. Например, на компьютере часто появляется экран BSOD. По коду ошибки можно подозревать сразу несколько причин его возникновения. А вот в журнале можно найти конкретную причину события и даже получить рекомендации по ее устранению.

В частности, часто синий экран появляется в случае сбоя драйвера. Журнал отобразит это событие и укажет конкретный драйвер. Чтобы максимально точно сопоставить события, желательно запомнить точное время, когда произошел сбой.

Чтобы журнал фиксировал все события в системе, данная служба должна быть запущена. В этом случае пользователь получает возможность:

— Просматривать все произошедшие в системе важные события.— Использовать имеющиеся фильтры для удобства поиска.— Выбирать определенные действия, которые будут происходить при записи каких-то событий.

Как просмотреть журнал событий

Открывается данная служба через Панель управления. При раскрытии меню раздела «Администрирование» следует выбрать подраздел «Просмотр событий».Все имеющиеся в журнале данные разбиты на несколько групп:— Приложения.

— Перенаправленные данные.

— Безопасность.

— Система.

— Установка.

К примеру, в разделе «Приложений» отображаются все ошибки, исходящие от установленных в системе программ. А все системные ошибки будут видны в разделе «Система».

Способы очистки журнала событий

Существует несколько способов очистки журнала, о которых пойдет речь ниже.

Ручная очистка

Это наиболее простой способ, который не требует особых знаний или наличия каких-то программ. Для его выполнения следует открыть журнал, а затем мышкой выбрать раздел, который нужно очистить. При нажатии ПКМ на данном разделе откроется меню, в котором нужно выбрать команду «Очистить».

Чистка через командную строку

Необходимо вызвать командную строку и прописать в ней «for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1». После подтверждения команды клавишей Enter, все отчеты будут удалены.

Чистка через программу CCleaner

Программа CCleaner рассчитана на любой уровень пользователей и позволяет совершенно безопасно и быстро очистить все события, находящиеся в журнале. Для начала процесса очистки следует запустить программу и открыть раздел «Очистка». В данном разделе нужно поставить галочки напротив нужных пунктов. Для очистки журнала отмечается пункт «Журналы событий Windows», находящийся в подразделе «Прочее». Очистка будет завершена через пару минут.

fixforpc.ru

Как найти журнал завершения работы в Windows 10

Windows отслеживает процесс завершения работы и записывает все происходящие в этом момент события в системный журнал. В сегодняшней статье мы рассмотрим как найти журнал завершения работы в Windows 10.

В Windows есть три события связанные с выключением компьютера или его перезагрузкой:

• событие 6008 — неправильное завершение работы. Данное событие появляется в журнале если ваш компьютер был резко отключен, может свет пропал или на экране появился синий экран и компьютер ушел в перезагрузку.
• событие 6006 — компьютер правильно завершил свою работу.
• событие 1074 — процесс завершения был инициирован приложением. К примеру, Windows установила обновления и в процессе их установки нужно было перезагрузить компьютер.

Найти журнал завершение работы

1. В строке поиска или в меню выполнить (выполнить вызывается клавишами Win+R) введите eventvwr.msc и нажмите клавишу Enter.

2. В левой колонке выберите «Журналы Windows» => «Система» => с правой стороны выберите «Фильтр текущего журнала».

3. В строку ниже «Включение или исключение кодов событий» введите 1074, 6006, 6008 и нажмите «ОК».

Перед вами журнал показывающий только события связанные с завершением работы компьютера.

На сегодня всё, если вы знаете другие способы — пишите в комментариях! Счастья Вам 🙂

vynesimozg.com

Очистить журналы событий в Windows

В сегодняшней статье рассмотрим различные способы очистки всех журналов событий в Windows.

Открыв «Просмотр событий» вы можете увидеть различные журналы Windows, в которых находятся разные предупреждения, ошибки приложений и системы, информационные сообщения. Бывало, что обычный пользователь не мог войти в систему из-за того, что журнал безопасности переполнен. В таком случае можно было войти в систему пользователем с правами администратора, очистить журнал и в его свойствах поставить затирание по необходимости.

 Очистить все журналы просмотра событий в командной строке

1. Откройте командную строку от имени администратора: один из способов — нажать на меню «Пуск» правой клавишей мыши и выбрать «Командная строка (администратор)» из открывшегося меню.

2. Введите команду for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1» и нажмите клавишу Enter. По завершению очистки закройте командную строку.

Очистить все журналы просмотра событий в PowerShell

1. Откройте PowerShell: один из способов — в строке поиска ввести powershell и выбрать его из найденных результатов.

2. Введите команду Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log } и нажмите клавишу Enter.

Очистить журнал событий в «Просмотр событий»

1.В строке поиска или в меню выполнить (выполнить вызывается клавишами Win+R) введите команду eventvwr.msc и нажмите клавишу Enter.

2. Нажмите на журнал, который вы хотите очистить, правой клавишей мыши и выберите «Очистить журнал».

3. Вы можете просто очистить журнал нажав на «Очистить» и очистить его, предварительно куда-то сохранив копию — нажав на «Очистить и сохранить».

На сегодня всё, если вы знаете другие способы пишите комментарии! Удачи Вам 🙂

vynesimozg.com