Главная » Linux

Очистка журналов windows server

Содержание
  1. Очистка журналов windows server
  2. Удаление поврежденных файлов журнала просмотра событий
  3. Симптомы
  4. Причина
  5. Решение
  6. Раздел NTFS
  7. Раздел FAT (альтернативный метод)
  8. Очистка журналов событий Windows с помощью PowerShell и wevtutil
  9. Очистка журналов событий с помощью PowerShell
  10. Очистка журналов с помощью консольной утилиты WevtUtil.exe
  11. Очистка логов для системы средствами wmic в Windows Server 2008 R2.
  12. Очистить журналы событий в Windows
  13. Очистить все журналы просмотра событий в командной строке
  14. Очистить все журналы просмотра событий в PowerShell
  15. Очистить журнал событий в “Просмотр событий”

Очистка журналов windows server

просмотр журнала событий

Иногда чтобы посмотреть появляется какая либо ошибка или событие, трудно бывает искать его среди кучи событий, можно конечно фильтровать, но проще все очистить. Чистить в ручную долго и муторно, предлагаю скрипт который почистит все журналы windows. Перед выполнением скрипта советую в просмотре событий сохранить логи windows для дальнейшего изучения, много раз было, что старые файлы оказываются, очень нужны, учитесь на чужих ошибках, а лучше их вообще не совершайте.

До очистки видим, что в логах windows много событий

Выполняем скрипт, выполнять нужно от имени администратора.

После, результат на лицо все логи windows удалены в оснастке просмотр событий, и вы только обнаружите событие о том кто и когда произвел удаление.

вот сам текст скрипта

@echo off
FOR /F «tokens=1,2*» %%V IN (‘bcdedit’) DO SET adminTest=%%V
IF (%adminTest%)==(Access) goto noAdmin
for /F «tokens=*» %%G in (‘wevtutil.exe el’) DO (call :do_clear «%%G»)
echo.
echo goto theEnd
:do_clear
echo clearing %1
wevtutil.exe cl %1
goto :eof
:noAdmin
exit

Как видите логи windows очень быстро и легко удаляются скриптом, если нужно массово зачистить вешаем его в планировщике заданий. Так же советую ознакомится с методом Как очистить просмотр событий с помощью PowerShell

Удаление поврежденных файлов журнала просмотра событий

В этой статье описывается метод переименования или перемещения этих файлов в целях устранения неполадок.

Исходная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 172156

Симптомы

При запуске просмотра событий Windows может возникнуть одно из следующих сообщений об ошибке, если один из файлов *.evt поврежден:

Д-Services.exe
Исключение: нарушение прав доступа (0xc0000005), адрес: 0x76e073d4

При выборе «ОК» или отмене сообщения об ошибке «Dr. Watson» вы также можете получить следующее сообщение об ошибке:

Средство просмотра событий
Сбой удаленного вызова процедуры

Процесс services.exe может потреблять высокий процент использования ЦП.

Причина

Файлы журнала просмотра событий (Sysevent.evt, Appevent.evt, Secevent.evt) всегда используются системой, предотвращая удаление или переименование файлов. Службу EventLog нельзя остановить, так как она необходима другим службам, поэтому файлы всегда открыты.

Читайте также:  Что такое портативная windows

Решение

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в сведениях о том, как создать и восстановить реестр в Windows

Раздел NTFS

Нажмите кнопку «Начните», выберите пункт «Параметры», «Панель управления» и дважды щелкните «Службы».

Выберите службу EventLog и выберите «Запуск». Измените тип запуска на «Отключено» и выберите «ОК». Если вы не можете войти в компьютер, но можете получить удаленный доступ к реестру, можно изменить значение запуска в следующем ключе реестра на 0x4: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog

Когда система запускается, может возникнуть сбой нескольких служб; Может появиться сообщение, информирующие пользователя об использовании просмотра событий для проверки ошибок.

Переименуем или переместите поврежденный файл *.evt из следующего расположения: %SystemRoot%\System32\Config

В средстве «Службы панели управления» повторно включите службу EventLog, установив для нее значение по умолчанию «Автоматический запуск» или измените значение запуска реестра на 0x2.

Раздел FAT (альтернативный метод)

Загрузок в запрос MS-DOS с помощью загрузочного диска DOS.

Переименуем или переместите поврежденный файл *.evt из следующего расположения: %SystemRoot%\System32\Config

Удалите диск и перезапустите Windows.

При перезапуске Windows файл журнала событий будет воссоздан.

Очистка журналов событий Windows с помощью PowerShell и wevtutil

В некоторых случаях требуется удалить на компьютере или сервере все записи в журнале событий Windows. Конечно, очистку системных журналов, можно выполнить и из графической оснастки просмотра событий — Eventvwr.msc (ПКМ по нужному журналу ->Clear Log), однако начиная с Vista, в Windows используется несколько десятков журналов для различных компонентов системы, и очищать их все из консоли Event Viewer будет довольно утомительно. Гораздо проще очистить логи из командной строки: с помощью PowerShell или встроенной утилиты wevtutil.

Очистка журналов событий с помощью PowerShell

В том случае, если у вас установлен PowerShell 3 (по умолчанию уже установлен в Windows 8 / Windows Server 2012 и выше), для получения списка журналов и их очистки можно воспользоваться командлетами Get-EventLog и Clear-EventLog.

Запустите консоль PowerShell с правами администратора и с помощью следующей команды выведите список всех имеющихся в системе классических журналов событий с их максимальными размерами и количеством событий в них.

Читайте также:  Software для windows mobile

Для удаления всех событий из конкретного журнала событий (например, журнала System), воспользуйтесь командой:

Clear-EventLog –LogName System

В результате, все события из этого журнала будут удалены, а в журнале события останется только одно событие EventId 104 с текстом «The System log file was cleared».

Для очистки всех журналов событий нужно бы перенаправить имена журналов в конвейер, однако, к сожалению это запрещено. Поэтому нам придется воспользоваться циклом ForEach:

Get-EventLog -LogName * | ForEach

Таким образом, будут очищены все классические журналы EventLogs.

Очистка журналов с помощью консольной утилиты WevtUtil.exe

Для работы с событиями в Windows уже довольно давно имеется в наличии мощная утилита командой строки WevtUtil.exe. Ее синтаксис немного сложноват на первый взгляд. Вот, к примеру, что возвращает help утилиты:

Чтобы вывести список зарегистрированных в системе журналов событий, выполните команду:

WevtUtil enum-logs

или более короткий вариант:

На экране отобразится довольно внушительный список имеющихся журналов.

Можно получить более подробную информацию по конкретному журналу:

WevtUtil gl Setup

Очистка событий в конкретном журнале выполняется так:

WevtUtil cl Setup

Перед очисткой можно создать резервную копию событий в журнале, сохранив их в файл:

WevtUtil cl Setup /bu:SetupLog_Bak.evtx

Чтобы очистить сразу все журналы, можно воспользоваться командлетом Powershell GetWinEvent для получения всех объектов журналов и Wevtutil.exe для их очистки:

Get-WinEvent -ListLog * -Force | %

Wevtutil el | ForEach

Примечание. В нашем примере не удалось очистить 3 журнала из-за ошибки доступа. Стоит попробовать очистить содержимое этих журналов из консоли Event Viewer.

Очистка журналов может быть выполнена и из классической командной строки:

Очистка логов для системы средствами wmic в Windows Server 2008 R2.

“Логи в системе Windows7/Windows Server 2008 R2 Std хранятся по адресу c:\windows\system32\winevt\logs\”

Сейчас я покажу, как их очистить с помощью командной строки (cmd.exe) с использованием wmic.

Заходим в систему (dc1.polygon.local) с правами Администратора (ekzorchik) и запускаем командную строку (cmd.exe) в Административном окружении.

(,так делается в Windows 7 && Windows Server 2008/R2)

«Wmic nteventlog where filename=” ” call ClearEventlog»

Предлагаю Вам ознакомиться с примерами очистки логов в системе:

Очищаем лог Application :

C:\Windows\system32>wmic nteventlog where filename=»Application» call ClearEventlog

Method execution successful.

instance of __PARAMETERS

При очистке лога его размер будет соответствовать (68KB), см скриншот:

Очищаем лог Security:

C:\Windows\system32>wmic nteventlog where filename=»Security» call ClearEventlog

Method execution successful.

instance of __PARAMETERS

Очищаем лог System :

C:\Windows\system32>wmic nteventlog where filename=»System» call ClearEventlog

Читайте также:  Как форматировать систему при установке windows

Method execution successful.

instance of __PARAMETERS

Очищаем лог Active Directory Web Services :

C:\Windows\system32>wmic nteventlog where filename=»Active Directory Web Services» call ClearEventlog

nevt\\Logs\\Active Directory Web Services.evtx»)->ClearEventlog()

Method execution successful.

instance of __PARAMETERS

Очищаем лог DFS Replication :

C:\Windows\system32>wmic nteventlog where filename=»DFS Replication» call ClearEventlog

Method execution successful.

instance of __PARAMETERS

Очищаем лог DFS Replication :

C:\Windows\system32>wmic nteventlog where filename=»Directory Service» call ClearEventlog

Method execution successful.

instance of __PARAMETERS

Очищаем лог DNS Server :

C:\Windows\system32>wmic nteventlog where filename=»DNS Server» call ClearEventlog

Method execution successful.

instance of __PARAMETERS

Вот собственно и всё, может, кому и пригодится. Удачи.

Используйте прокси ((заблокировано роскомнадзором, используйте vpn или proxy)) при использовании Telegram клиента:

Поблагодари автора и новые статьи

будут появляться чаще 🙂

Карта МКБ: 4432-7300-2472-8059
Yandex-деньги: 41001520055047

Большое спасибо тем кто благодарит автора за практические заметки небольшими пожертвованиями. С уважением, Олло Александр aka ekzorchik.

Очистить журналы событий в Windows

В сегодняшней статье рассмотрим различные способы очистки всех журналов событий в Windows.

Открыв “Просмотр событий” вы можете увидеть различные журналы Windows, в которых находятся разные предупреждения, ошибки приложений и системы, информационные сообщения. Бывало, что обычный пользователь не мог войти в систему из-за того, что журнал безопасности переполнен. В таком случае можно было войти в систему пользователем с правами администратора, очистить журнал и в его свойствах поставить затирание по необходимости.

Очистить все журналы просмотра событий в командной строке

1. Откройте командную строку от имени администратора: один из способов – нажать на меню “Пуск” правой клавишей мыши и выбрать “Командная строка (администратор)” из открывшегося меню.

2. Введите команду for /F “tokens=*” %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl “%1” и нажмите клавишу Enter. По завершению очистки закройте командную строку.

Очистить все журналы просмотра событий в PowerShell

1. Откройте PowerShell: один из способов – в строке поиска ввести powershell и выбрать его из найденных результатов.

2. Введите команду Get-EventLog -LogName * | ForEach и нажмите клавишу Enter.

Очистить журнал событий в “Просмотр событий”

1.В строке поиска или в меню выполнить (выполнить вызывается клавишами Win+R) введите команду eventvwr.msc и нажмите клавишу Enter.

2. Нажмите на журнал, который вы хотите очистить, правой клавишей мыши и выберите “Очистить журнал”.

3. Вы можете просто очистить журнал нажав на “Очистить” и очистить его, предварительно куда-то сохранив копию – нажав на “Очистить и сохранить”.

На сегодня всё, если вы знаете другие способы пишите комментарии! Удачи Вам 🙂

Оцените статью
© 2024 Советы по настройке компьютера