Очищення журналів подій Event Viewer у Windows

У Windows можна очистити журнали подій Event Viewer за допомогою графічного оснащення eventvwr.msc, з командного рядка та за допомогою PowerShell.

Очищення журналу подій з графічної консолі Event Viewer

Найінтуїтивніший спосіб очищення журналів подій Windows – скористатися графічною консолью Event Viewer.

  1. Запустіть консоль eventvwr.msc;
  2. Клацніть правою кнопкою по журналу та виберіть Clear Log;

Такий спосіб дозволяє швидко видалити всі події одного конкретного журналу. Однак у Windows використовується кілька сотень журналів для різних компонентів операційної системи та стороннього програмного забезпечення.

За промовчанням Windows зберігає журнали у файлах з розширенням EVTX у каталозі %SystemRoot%\System32\Winevt\Logs\ .

Якщо вам потрібно очистити їх усі – це буде втомно вручну проклацувати всі розділи Event Viewer та очистити кожен журнал. У цьому випадку для видалення подій краще використовувати PowerShell або командний рядок.

Видалення логів Windows з командного рядка

Для очищення журналів Windows із командного рядка використовується утиліта wevtutil.exe.

Вивести список зареєстрованих у Windows журналів подій:

або короткий варіант:

Щоб видалити події з одного конкретного журналу, скопіюйте його ім'я та виконайте команду:

WevtUtil cl Microsoft-Windows-GroupPolicy/Operational

Перед очищенням можна створити резервну копію подій у журналі в окремий файл:

WevtUtil cl Microsoft-Windows-GroupPolicy/Operational /bu:GPOLOG_Bak.evtx

Можна відразу очистити всі журнали подій з cmd.exe:

for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"

for /F "tokens=*" %%1 in ('wevtutil.exe el') DO wevtutil.exe cl "%%1"

Clear-EventLog: команда PowerShell для очищення журналів подій

У PowerShell для отримання списку журналів подій Windows та їх очищення можна використовувати командлети Get-WinEvent і Clear-EventLog.

Відкрийте консоль PowerShell із правами адміністратора, виведіть список усіх імен журналів у Windows та їх налаштування:

Щоб видалити всі події з двох журналів (наприклад, Security та System), виконайте команду:

Clear-EventLog –LogName Security,System

При цьому журнал очищається, і записується подія з EventID 104 або 1102 з часом очищення, користувачем, який виконав та описом:

System log file був cleared The audit log був cleared.

Для очищення адміністративних та операційних журналів подій Windows виконайте таку однорядкову команду PowerShell:

Get-WinEvent -ListLog * -Force | %

wevtutil el | Foreach-Object

Примітка. У нашому прикладі не вдалося очистити 3 журнали через помилку доступу. Спробуйте вручну очистити вміст цих журналів із консолі Event Viewer.

Очищення журналів подій Event Viewer у Windows - Mriya.v.ua

У процесі роботи Windows постійно веде запис різних системних подій файли журналів, які можна переглянути за допомогою утиліти «Перегляд подій». Самі собою журнали не займають багато місця на диску, але загальна кількість операцій запису на тривалому відрізку часу значно і потенційно може впливати на загальний ресурс дисків, особливо SSD. За бажанням, запис подій до журналу можна вимкнути.

У цій інструкції докладно про способи відключити журнал подій повністю або частково для окремих подій, очистити його та додаткову інформацію, яка може бути корисною.

Вимкнення служби журналу подій Windows

Найочевидніший і найпростіший спосіб відключити журнал подій — відключення відповідної служби, проте цей спосіб має мінуси:

  • Від зазначеної служби залежать і інші служби, зокрема можуть виникнути проблеми з роботою планувальника завдань, службами відомостей про підключені мережі, списку мереж та автоматичного налаштування мережевих пристроїв.
  • Повне відключення журналу подій може бути не найкращим варіантом: відомості про збої, що збираються в журналах, можуть бути корисними для діагностики проблем з роботою системи.

Список залежностей служби відрізняється в різних версіях Windows: у Windows 11 проблем після відключення служби "Журнал подій" ви найімовірніше не помітите, а в Windows 10 вони можуть бути.

Для того, щоб вимкнути службу Журнал подій Windows (чого я не рекомендую) ви можете використовувати оснастку Служби:

  1. Натисніть клавіші Win+R на клавіатурі, введіть services.msc та натисніть Enter.
  2. У списку служб знайдіть «Журнал подій Windows» і двічі натисніть цю службу.
  3. Натисніть кнопку «Зупинити», змініть тип запуску на «Вимкнути» та натисніть «Ок».

Ще один спосіб – запустити командний рядок від імені адміністратора і по порядку використовувати наступні команди:

net stop eventlog sc config eventlog start=disabled

Це повністю відключить ведення журналу подій, але при виникненні проблем із роботою інших системних служб не забудьте, що, можливо, вони були викликані описаними діями.

Вимкнення запису окремих подій або вибраних журналів

Замість відключення журналу подій повністю, ви можете відключити запис лише окремих подій – тих, які записуються найчастіше, при цьому не несуть корисної інформації для більшості користувачів.

Насамперед це події «Аудит успіху» в журналі «Безпека». Для відключення запису цих подій у командному рядку від імені адміністратора використовуйте одну з наступних команд (перша для російськомовної версії Windows, друга для англомовної або перекладеної російською мовою шляхом встановлення мовного пакета):

auditpol /set /subcategory:"Підключення платформи фільтрації" /success:disable /failure:enable auditpol /set /subcategory:"Filtering Platform Connection" /success:disable /failure:enable

Зазначені команди відключать запис подій типу «Успіх», але залишать запис подій «Відмова». Аналогічно можливо відключення подій інших підкатегорій, повний список підкатегорій можна отримати за допомогою команди auditpol /list /subcategory:*

Наступна можливість – відключення запису певних подій по їх GUID, кроки будуть наступними (приклад для журналу "Система"):

  1. У перегляді подій (Win+R – eventvwr.msc) знайдіть подію, запис яких потрібно вимкнути, на вкладці «Подробиці» увімкніть режим XML, тут нам знадобиться значення параметра GUID.
  2. У редакторі реєстру (Win+R – regedit) перейдіть до розділу
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System

І ще один метод для журналів додатків, на прикладі журналу WFP (який у багатьох користувачів постійно пишеться з великою інтенсивністю):

  1. У Перегляді подій відкрийте «Журнали додатків» та перейдіть до потрібного журналу, наприклад: Microsoft — Windows — WFP — Operational
  2. Натисніть правою кнопкою миші за журналом та виберіть «Вимкнути журнал».

Окремо за журналом wfpdiag.etl: ще одна можливість відключення – команда

netsh wfp set options netevents = off

Очищення журналу подій

Файли журналів подій розміщуються в папках

C:\Windows\System32\winevt\Logs C:\Windows\System32\LogFiles

І в деяких інших розташуваннях, наприклад — C:\ProgramData\Microsoft\Windows\wfp\

Очищення вручну шляхом видалення файлів небажане і не завжди зручне. Ви можете:

  1. Використовувати опцію "Очистити журнал" для відповідного журналу в "Перегляд подій" у контекстному меню журналу або його властивостях.
  2. Використовувати одну з команд (перша для командного рядка, друга для PowerShell, в обох випадках потрібен запуск від імені адміністратора):

for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1" Get-EventLog -LogName * | ForEach

Якщо залишаються питання щодо журналів подій у Windows, ставте їх у коментарях — не виключено, що я чи хтось із читачів зможе підказати.

А раптом і це буде цікаво:

  • Найкращі безкоштовні програми для Windows
  • Ця функція заблокована системним адміністратором у Зв'язок з телефоном
  • Google Play Games for PC – емулятор Android для ПК
  • Браузер виходить з акаунтів – причини та рішення
  • Помилки 0x800f0983 — 0x800f0989 під час інсталяції оновлення Windows 11 або 10 — як виправити?
  • Що за файл hiberfil.sys у Windows 11 та 10 та як його видалити
  • Windows 11
  • Windows 10
  • Android
  • Завантажувальна флешка
  • Лікування вірусів
  • Відновлення даних
  • Установка з флешки
  • Налаштування роутера
  • Все про Windows
  • У контакті
  • Однокласники

    Олексій 23.08.2023 о 17:27

Очищення журналів подій Event Viewer у Windows - Mriya.v.ua

Списки відкритих файлів і підключених USB пристроїв, історія браузера, кеш DNS – все це допомагає дізнатися, що робив користувач. Ми склали покрокову інструкцію, як прибрати сліди своєї діяльності у різних версіях Windows, Office та популярних браузерах.Наприкінці статті ти знайдеш кілька скриптів, які допоможуть тобі автоматично підтримувати чистоту своєї машини.

1. Очищення списків недавніх місць та програм

Почнемо прибирання зі списків недавніх місць та програм. Список нещодавніх програм (Windows 10 — часто використовуваних) знаходиться в головному меню, а список недавніх місць — у провіднику.

Xakep #208. Атака на сигналку

Як вимкнути це неподобство? У Windows 7 — клацнути правою кнопкою миші на кнопці «Пуск», вибрати «Властивості» і у вікні, що з'явилося, зняти обидві галочки в розділі «Конфіденційність».

Відключаємо зберігання списку останніх програм у Windows 7

Щоб очистити список останніх місць та документів, потрібно видалити вміст каталогу %appdata%\Microsoft\Windows\Recent . Для цього відкрий командний рядок і виконай дві команди:

cd %appdata%\Microsoft\Windows\Recent echo y | del *.*

Також не завадить видалити вміст каталогу %appdata%\microsoft\windows\recent\automaticdestinations\ . У ньому зберігаються останні файли, які відображаються у списку переходу:

cd %appdata%\microsoft\windows\recent\automaticdestinations\ echo y | del *.*

Далі ці рядки стануть у нагоді нам, коли писатимемо власний скрипт для очищення системи від слідів нашого перебування в ній.

Щоб останні файли очищалися автоматично при виході, потрібно включити політику «Очищати журнал документів, що недавно відкривалися при виході», яка знаходиться в розділі «Конфігурація користувача\Адміністративні шаблони\Меню «Пуск» і панель завдань».

Тепер переходимо до Windows 10. Вимкнути список доданих і часто використовуваних програм можна через вікно «Параметри». Відкрий його та перейди у розділ «Персоналізація», пункт «Пуск». Вимкни все, що там є.

Вимкнення зберігання списку програм у Windows 10

Здається, що проблему вирішено, але це, на жаль, не зовсім так. Якщо ввімкнути ці параметри знову, всі списки в такому ж складі з'являться знову. Тому доведеться відключати цю фічу через групову політику. Відкрий gpedit.msc і перейдіть до розділу "Конфігурація користувача\Адміністративні шаблони\Меню "Пуск" і панель завдань". Включи такі політики:

  • «Очищення списку програм, що недавно використовуються, для нових користувачів»;
  • «Очистити журнал документів, що недавно відкривалися при виході»;
  • "Очистити журнал повідомлень на плитці при виході";
  • «Видалити список програм, закріплених у меню „Пуск“».

Очистити недавні місця у Windows 10 простіше, ніж у «сімці». Відкрий провідник, перейдіть на вкладку «Вид» і натисніть кнопку «Параметри». У вікні відключи параметри «Показувати недавно використовувані файли на панелі швидкого доступу» і «Показувати часто використовувані папки на панелі швидкого доступу». Не забудьте натиснути кнопку «Очистити».

Параметри папок Windows 10

Як бачиш, таке просте завдання, як очищення останніх об'єктів, має досить непросте рішення. Без редагування групових політик – нікуди.

2. Очищення списку USB-накопичувачів

На деяких режимах до комп'ютера можна підключати лише флешки, зареєстровані в журналі. Причому, як водиться, журнал самий звичайний — паперовий. Тобто сам комп'ютер не обмежує підключення незареєстрованих накопичувачів. Не обмежує, проте протоколює! І якщо під час перевірки виявлять, що користувач підключав незареєстровані накопичувачі, у нього будуть проблеми.

Ми в жодному разі не радимо тобі намагатися вкрасти військові секрети, але вміння очищати список накопичувачів, що недавно підключалися, може стати в нагоді і в інших життєвих ситуаціях. Щоб зробити це, заглянь до наступних розділів реєстру:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\

Ось вони – всі накопичувачі, які ти підключав до свого комп'ютера.

Розділ реєстру з історією підключення накопичувачів

Здавалося б, треба просто взяти та все почистити. Але не тут було! По-перше, дозволи на ці гілки реєстру встановлені таким чином, що ти нічого не видалиш навіть у «сімці», не кажучи вже про «десяток».

По-друге, призначати права та дозволи вручну довго, особливо якщо накопичувачів багато. По-третє, права адміну не допоможуть. Скріншот вище був створений, коли я виконував операцію видалення саме з правами адміну. По-четверте, крім цих двох розділів потрібно почистити ще довгий список розділів. Причому їх потрібно просто видаляти, а грамотно редагувати.

Якщо тобі з якихось причин потрібно зробити все вручну, то шукай за ключовими словами MountPoints, MountedDevices DeviceClasses і RemovableMedia. Але куди простіше використати готову програму, яка зробить усе за тебе. На деяких форумах для цього рекомендується USBDeview. Проте я її протестував і заявляю, що вона вичищає інформацію далеко не з усіх потрібних розділів. USBSTOR і USB продовжують містити інформацію про носії, що підключалися.

Можу рекомендувати програму USB Oblivion. Запусти її, постав галочку «Зробити реальне очищення». Параметр «Зберегти .reg-файл скасування» можеш увімкнути чи ні, але якщо ціль не перевірити програму, а підготуватися до майбутньої інспекції комп'ютера, краще вимкнути.

Програма не лише чистить реєстр, а й виводить докладний лог своїх дій (див. нижче). Коли вона завершить роботу, не залишиться жодних згадок про підключення накопичувачів до комп'ютера.

USB Oblivion у дії

3. Очищення кешу та історії браузерів

Третій пункт у нашому туди – очищення кешу та журналу браузерів. Тут ніяких труднощів — кожен браузер дозволяє скинути список нещодавно відвіданих сайтів.

Edge. Очистити список завантажених файлів і всі журнали можна за допомогою "Концентратора". Просто натисніть відповідні посилання. Під час очищення журналу потрібно вибрати всі чекбокси та натиснути кнопку «Очистити».

«Концентратор» Генеральне прибирання в Edge

Firefox. Відкрий налаштування, перейди в розділ «Приватність», натисніть посилання «Видалити вашу недавню історію», вибери «Все», натисніть кнопку «Видалити зараз».

Chrome. Натисніть Ctrl + Shift + Del, на сторінці, що з'явилася, вибери очищення за весь час, познач всі чекбокси і натисніть кнопку «Очистити історію».

Opera. Виберіть «Меню (Opera) → Установки → Видалити особисті дані». Принцип той самий – вибираємо все, натискаємо кнопку "Видалити".

IE. Та хто його використовує? Якщо рекомендації ти знайдеш на сайті Microsoft.

В результаті ти не тільки зітріш сліди, а й злегка звільниш диск. Щоб не чистити знову, можеш продовжити користуватися браузером в режимі інкогніто. Звичайно, адмін за бажання помітить лог на шлюзі, але на твоєму комп'ютері все буде чисто. Оптимальне рішення – використовувати Tor. У цьому випадку навіть адмін не побачить, які сайти ти відвідуєш (за умови, що за твоєю спиною камери спостереження немає).

Якщо ти використовуєш не один браузер, а дещо і чистити потрібно періодично, то можна використовувати одну зі спеціалізованих утиліт.Я протестував Free History Eraser, і результат виявився середнім: щось почищене, щось ні (журнал Edge, наприклад, залишився недоторканим). Тож у важливих випадках не забувай перевірити вручну.

4. Видаляємо записи DNS

Дізнатися, які сайти ти відвідував можна не тільки з журналу браузера, але ще й з кеша DNS. Коли ти вводиш адресу сайту в браузері, ваш комп'ютер звертається до DNS, щоб перетворити ім'я сайту на IP-адресу. Кеш отриманих раніше імен зберігається у тебе локально. Переглянути його можна за допомогою ipconfig /displaydns . Висновок показувати не буду, він надто довгий. Для очищення цього кешу використовується інша команда – ipconfig/flushdns.

5. Очищення Flash Cookies

За тобою стежать усі кому не ліньки. Навіть Flash – і той відстежує твої відвідини. Flash Cookies збираються в каталозі %appdata%\Macromedia\Flash Player#SharedObjects. Що з ним зробити, ти вже здогадався — видаляти до такої матері. Для скриптування цього процесу знадобляться ці два рядки:

cd %appdata%\Macromedia\Flash Player\#SharedObjects echo y | del *.*

6. Видалення списку останніх документів Microsoft Office

Для зручності користувачів список останніх документів зберігає всі програми офісного пакета. Щоб припинити це неподобство, у нових версіях Office потрібно в параметрах перейти до розділу «Додатково», встановити кількість останніх документів рівним одиниці (зверніть увагу – на скріншоті є два параметри, які потрібно змінити на одиницю). Значення 0 програма встановити не дозволить, тому останнім потрібно буде відкрити якийсь нешкідливий файл.

У більш старих версіях на вкладці «Загальні» вікна параметрів можна або встановити значення 1 , або взагалі вимкнути параметр «Пам'ятати список з N файлів».

7. Автоматизуємо очищення за допомогою спецсофту

Зверніть увагу, що нам потрібна саме версія CCleaner Desktop, а не CCleaner Cloud.Остання коштує грошей і її набір функцій значно ширший, ніж нам потрібно. Переходимо за посиланням та вибираємо версію Free.

Чим мені подобається CCleaner – так це тим, що він:

  • підтримує останні версії Windows, останні версії браузерів, зокрема Edge (на відміну Free History Eraser);
  • може очистити як систему, а й докладання;
  • може працювати в режимі пакетної обробки — трохи нижче покажу, як це реалізується.

Користуватися програмою простіше простого – оберіть елементи, які хочеш очистити, і натисніть кнопку "Очищення".

Є ще одна програма для очищення всієї системи — Windows Cleaner. Щоправда, на її сайті вказано, що вона підтримує лише системи до Windows 8 включно. Дійсно, у Windows 10 програма не працювала так, як потрібно (принаймні з очищенням журналу Edge вона не впоралася). Але на старіших «Вікнах» вона має право на існування.

8. Реальне видалення файлів

Всі ми знаємо, що при видаленні файл насправді не стирається. Видаляється лише запис про нього, а самі дані все ще існують десь на диску. Тому для повного видалення інформації потрібно використовувати спеціальні утиліти, які затирають вільне місце диска нулями або випадковими даними. Після цього відновити файли не вдасться. У попередніх кроках ми вже багато чого видаляли, тому час затерти вільний простір, щоб не можна було відновити взагалі нічого.

Існує багато утиліт для затирання інформації. Але ми будемо використовувати те, що вже маємо, а саме CCleaner. Зайди в «Сервіс → Стирання дисків», вибери диск, який хочеш очистити від недобитих файлів, вкажи прати «Тільки вільне місце» та задай спосіб стирання. Додаток підтримує кілька стандартів стирання – від найпростішого, що передбачає один перезапис, до методу Гутмана (35 проходів).

Стирання вільного місця

З конкурентів CCleaner цікава, наприклад, програма BCWipe – вона може не тільки прати вільний простір, але й видаляти файл підкачки, який також може містити конфіденційну інформацію. BCWipe коштує грошей, але для одноразового стирання підійде і trial-версія.

9. Створюємо bat-файл для очищення всього

Тепер спробуємо автоматизувати деякі описані раніше операції. Почнемо з видалення файлів із каталогу Recent. Видаляти командою del, як було показано вище, можна, але краще одразу використовувати CCleaner для безпечного видалення.

\шлях\CCleaner.exe /delete "%appdata%\Microsoft\Windows\Recent\*" 1 \шлях\CCleaner.exe /delete %appdata%\microsoft\windows\recent\automaticdestinations\*" 1 \шлях\CCleaner. exe /delete "%appdata%\Macromedia\Flash Player\#SharedObjects" 1

На жаль, CCleaner не можна викликати так, щоб він почистив у режимі командного рядка весь вільний простір, тому доведеться видаляти файли через нього, а не командою del або використовувати команду del, а потім вручну запустити його і викликати очищення вільного простору. Останній параметр (1) означає видалення із трьома проходами. Це оптимальний режим, оскільки з одним проходом (0) – надто просто, а решта – надто довго. З повним переліком параметрів командного рядка CCleaner можна ознайомитись на сайті розробників.

З командного рядка можна чистити список USB-накопичувачів за допомогою USB Oblivion:

\шлях\USBOblivion.exe -enable -auto -nosave -silent

Перший параметр запускає реальне очищення, а не симуляцію. Другий – роботу в автоматичному режимі (тобі не доведеться натискати кнопку), файли .reg зберігатися не будуть (-nosave), а параметр -silent означає роботу в тихому режимі – саме для командного рядка.

Далі потрібно запустити CCleaner із параметром /AUTO для автоматичного очищення за замовчуванням. Це не очистить кеш DNS, так що доведеться зробити це вручну:

\шлях\CCleaner.exe /AUTO ipconfig /flushdns

У результаті вийшов ось такий сценарій:

\шлях\CCleaner.exe /delete "%appdata%\Microsoft\Windows\Recent\*" 1 \шлях\CCleaner.exe /delete %appdata%\microsoft\windows\recent\automaticdestinations\*" 1 \шлях\CCleaner. exe /delete "%appdata%\Macromedia\Flash Player\#SharedObjects" 1 \шлях\USBOblivion.exe -enable -auto -nosave -silent \шлях\CCleaner.exe /AUTO ipconfig /flushdns

10. Створюємо AutoHotkey-скрипт для очищення всього

Тепер напишемо ще один скрипт. Він відкриватиме браузер Chrome в режимі інкогніто, а після закінчення сесії (буде заданий WinWaitClose) запускати CCleaner для автоматичного очищення – буде видалено кеш браузера та тимчасові файли. Після цього очистимо ще й кеш DNS.

Run, C:\path\to\chrome.exe -incognito WinWait, - Google Chrome WinWaitClose Run, C:\шлях\ccleaner.exe /AUTO Run, cmd /c "ipconfig /flushdns" MsgBox, Browsing Session is Cleaned.

Якщо ти користуєшся Firefox, зміни перший рядок, вказавши шлях до Firefox і параметр -private замість –incognito . Для запуску скрипту можна використовувати AutoHotkey.

Денис Колісниченко

Постійний автор журналу «Хакер»