Очистка логов для системы средствами wmic в Windows Server 2008 R2.
“Логи в системе Windows7/Windows Server 2008 R2 Std хранятся по адресу c:\windows\system32\winevt\logs\”
Сейчас я покажу, как их очистить с помощью командной строки (cmd.exe) с использованием wmic.
Заходим в систему (dc1.polygon.local) с правами Администратора (ekzorchik) и запускаем командную строку (cmd.exe) в Административном окружении.
(,так делается в Windows 7 && Windows Server 2008/R2)
«Wmic nteventlog where filename=” ” call ClearEventlog»
Предлагаю Вам ознакомиться с примерами очистки логов в системе:
Очищаем лог Application :
C:\Windows\system32>wmic nteventlog where filename=»Application» call ClearEventlog
Method execution successful.
instance of __PARAMETERS
При очистке лога его размер будет соответствовать (68KB), см скриншот:
Очищаем лог Security:
C:\Windows\system32>wmic nteventlog where filename=»Security» call ClearEventlog
Method execution successful.
instance of __PARAMETERS
Очищаем лог System :
C:\Windows\system32>wmic nteventlog where filename=»System» call ClearEventlog
Method execution successful.
instance of __PARAMETERS
Очищаем лог Active Directory Web Services :
C:\Windows\system32>wmic nteventlog where filename=»Active Directory Web Services» call ClearEventlog
nevt\\Logs\\Active Directory Web Services.evtx»)->ClearEventlog()
Method execution successful.
instance of __PARAMETERS
Очищаем лог DFS Replication :
C:\Windows\system32>wmic nteventlog where filename=»DFS Replication» call ClearEventlog
Method execution successful.
instance of __PARAMETERS
Очищаем лог DFS Replication :
C:\Windows\system32>wmic nteventlog where filename=»Directory Service» call ClearEventlog
Method execution successful.
instance of __PARAMETERS
Очищаем лог DNS Server :
C:\Windows\system32>wmic nteventlog where filename=»DNS Server» call ClearEventlog
Method execution successful.
instance of __PARAMETERS
Вот собственно и всё, может, кому и пригодится. Удачи.
Используйте прокси ((заблокировано роскомнадзором, используйте vpn или proxy)) при использовании Telegram клиента:
Поблагодари автора и новые статьи
будут появляться чаще 🙂
Карта МКБ: 4432-7300-2472-8059
Yandex-деньги: 41001520055047
Большое спасибо тем кто благодарит автора за практические заметки небольшими пожертвованиями. С уважением, Олло Александр aka ekzorchik.
Журнал событий в Windows 7/10 – где находится и как открыть?
Даже когда пользователь ПК не совершает никаких действий, операционная система продолжает считывать и записывать множество данных. Наиболее важные события отслеживаются и автоматически записываются в особый лог, который в Windows называется Журналом событий. Но для чего нужен такой мониторинг? Ни для кого не является секретом, что в работе операционной системы и установленных программ могут возникать сбои. Чтобы администраторы могли находить причины таких ошибок, система должна их регистрировать, что собственно она и делает.
Итак, основным предназначением Журнала событий в Windows 7/10 является сбор данных, которые могут пригодиться при устранении неисправностей в работе системы, программного обеспечения и оборудования. Впрочем, заносятся в него не только ошибки, но также и предупреждения, и вполне удачные операции, например, установка новой программы или подключение к сети.
Где находится журнал событий Windows
Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.
Хотя эти файлы содержат текстовые данные, открыть их Блокнотом или другим текстовым редактором не получится, поскольку они имеют бинарный формат. Тогда как посмотреть Журнал событий в Windows 7/10, спросите вы? Очень просто, для этого в системе предусмотрена специальная штатная утилита eventvwr.
Как открыть журнал
Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr.msc.
В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой – список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.
Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основных и две дополнительных категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные – «Установка» и «Перенаправленные события».
Категория «Система» содержит события, сгенерированные системными компонентами – драйверами и модулями Windows.
Ветка «Приложения» включает записи, созданные различными программами. Эти данные могут пригодиться как системным администраторам и разработчикам программного обеспечения, так и обычным пользователям, желающим установить причину отказа той или иной программы.
Третья категория событий «Безопасность» содержит сведения, связанные с безопасностью системы. К ним относятся входы пользователей в аккаунты, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам, запуск и остановка процессов и так далее.
Так как число событий может исчисляться тысячами и даже десятками тысяч, в eventvwr предусмотрена возможность поиска и фильтрации событий по свойствам – важности, времени, источнику, имени компьютера и пользователя, коду и так далее. Допустим, вы хотите получить список системных ошибок. Выберите слева Журналы Windows – Система, справа нажмите «Фильтр текущего журнала» и отметьте в открывшемся окне галочкой уровень события – пункты «Ошибка» и «Критическое». Нажмите «OK» и утилита тут же отфильтрует записи.
Чтобы просмотреть конкретную запись, кликните по ней дважды – сведения откроются в окошке «Свойства событий».
Как использовать содержимое журнала
Хорошо, теперь мы в курсе, где находится журнал событий и как его открыть, осталось узнать, как его можно использовать. Сразу нужно сказать, что в силу своей специфичности содержащиеся в нем сведения мало что могут поведать обычному пользователю. О чем говорит, к примеру, ошибка «Регистрация сервера
Так, описание приведенной выше ошибки имеется на сайте Microsoft и указывает оно на проблемы со SkyDrive, кстати, не представляющие совершенно никакой угрозы. Если вы не пользуетесь этим сервисом, ошибку можно игнорировать или отключить ее источник в «Планировщике заданий». А еще описание ошибки можно отправить разработчику, предварительно сохранив его в файл XML, CSV или TХT.
Также пользователи могут связывать отслеживаемые события с задачами в «Планировщике заданий». Для этого необходимо кликнуть ПКМ по записи, выбрать «Привязать задачу к событию» и создать с помощью запустившегося мастера нужное задание. В следующий раз, когда произойдет такое событие, система сама запустит выполнение задания.
Очистка, удаление и отключение журнала
На жестком диске файлы журнала занимают сравнительно немного места, тем не менее, у пользователя может возникнуть необходимость их очистить. Сделать это можно разными способами: с помощью оснастки eventvwr, командной строки и PowerShell. Для выборочной очистки вполне подойдет ручной способ. Нужно зайти в журнал событий, кликнуть ПКМ по очищаемому журналу в левой колонке и выбрать в меню опцию «Очистить журнал».
Если вы хотите полностью удалить все записи журнала, удобнее будет воспользоваться запущенной от имени администратора командной строкой. Команда очистки выглядит следующим образом:
for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»
Вместо командной строки для быстрой и полной очистки журнала также можно воспользоваться консолью PowerShell. Откройте ее с повышенными правами и выполните в ней такую команду:
wevtutil el | Foreach-Object
При очистке через PowerShell в журнале могут остаться несколько записей. Это не беда, в крайнем случае события можно удалить вручную.
Итак, мы знаем, как открыть журнал событий, знаем, как его использовать и очищать, в завершение давайте посмотрим, как его полностью отключить, хотя делать это без особой нужды не рекомендуется, так как вместе с журналом событий отключатся некоторые, возможно нужные вам службы.
Командой services.msc откройте оснастку «Службы», справа найдите «Журнал событий Windows», кликните по нему дважды, в открывшемся окошке свойств тип запуска выберите «Отключено», а затем нажмите кнопку «Остановить».
Изменения вступят в силу после перезагрузки компьютера. Вот и все, больше системные и программные события регистрироваться не будут.
Журналы событий, в Windows Server 2008
В журналы событий записывается хронологическая информация, которая поможет вам выявить проблемы в системе и безопасности. Отслеживанием событий на системах Windows Server 2008 управляет служба Журнал событий Windows (Windows Event Log). Журналы бывают двух основных типов:
• Журналы Windows (Windows logs) Используются операционной системой для записи основных системных событий, связанных с приложениями, безопасностью, настройкой и системными компонентами.
• Журналы приложений и служб (Applications and Services logs) Используются отдельными приложениями и службами для записи событий, специфических для приложения или службы.
К журналам Windows относятся следующие журналы:
• Безопасность (Security Log) В него записываются события, для которых в локальных или глобальных групповых политиках безопасности задан аудит. По умолчанию располагается в файле %System Root%\ System32\Winevt\Logs\Security.evtx.
• Настройка (Setup Log) Сюда записываются события, зарегистрированные ОС и ее компонентами в процессе установки. По умолчанию располагается в файле %SystemRoot%\System32\Winevt\Logs\Setiip.evtx.
• Пересланные события (Forwarded Events) Если настроена пересылка событий, в этот’ журнал записываются события, пересланные с других серверов. По умолчанию располагается в файле %SystemRoot%\Systein32\ Config\EordwardedEvents.evtx.
• Приложение (Application) В него записываются события, зарегистрированные приложениями, например, ошибка при осуществлении доступа к базе данных Microsoft SQL Server. По умолчанию он располагается в файле %System Root%\System32\Winevt\Logs\Application.cvtx.
• Система (System Log) Сюда записываются события, зарегистрированные ОС и ее компонентами, например, неудачный запуск службы при загрузке. По умолчанию располагается в файле %SystemRoot%\System32\ Winevt\Logs\Systcm.cvtx.
К журналам приложений и служб относятся следующие журналы:
• Репликация DFS (DFS Replication) В этом журнале протоколируется активность служб репликации DFS. По умолчанию располагается в файле %SystemRoot%\System32\Winevt\Logs\Dfs Replication, cvtx.
• Служба каталогов (Directory Service) Сюда записываются события, зарегистрированные доменными службами Active Directory. По умолчанию располагается в файле %SystemRoot%\System32\Winevt\Logs\ Directory Service.evtx.
• Служба репликации файлов (File Replication Service) Здесь протоколируется активность службы репликации файлов. По умолчанию располагается в файле %SystemRoot%\Systcm32\Winevt\Logs\File Replication Service.evtx.
• События оборудования (Hardware Events) Если настроена регистрация событий аппаратной подсистемы, в этот журнал Записываются аппаратные события, зарегистрированные ОС. По умолчанию располагается в файле %SystemRoot%\System32\Config\Hardware.evtx.
• DNS-сервер (DNS Server) Сюда записываются DNS-запросы, ответы и прочая активность DNS. По умолчанию располагается в файле %SystemRoot%\System32\Winevt\Logs\DNSServer.evtx.
• Microsoft\Windows Журналы событий, относящихся к определенным службам и компонентам Windows. Журналы организуются по типу компоиентов и категории событий. В операционных журналах регистрируются события, вызванные текущими операциями соответствующего компонента. В некоторых случаях вы увидите также дополнительные журналы для анализа, отладки и регистрации административных задач.
