Журнал событий в windows 7/10

Отключить отчеты об ошибках в Windows Vista

1. Нажмите Пуск, а затем Панель управления.
2. Нажмите Система и обслуживание. Если вы просматриваете классический вид панели управления, дважды щелкните Отчеты о проблемах и решения и перейдите к шагу 4.
3. Нажмите Отчеты о проблемах и решения.
4. Нажмите Изменить настройки в левой части окна.
5. Нажмите один из двух доступных вариантов:
   • Проверять решения автоматически (опция по умолчанию)
   • Попросите меня проверить, не возникает ли проблема: если вы выберете этот вариант, отчеты об ошибках будут включены, но Windows Vista не сможет автоматически уведомлять Microsoft об этой проблеме. Если ваша единственная задача – отправка информации в Microsoft, вы можете остановиться здесь. Если вы хотите полностью отключить отчеты об ошибках, вы можете пропустить этот шаг и продолжить с остальными инструкциями ниже.
6. Нажмите Расширенные настройки.
7. Выберите Off под Для моих программ, проблема отчетности является: заголовок. Здесь есть несколько расширенных опций, которые вы можете изучить, если не хотите полностью отключать отчеты об ошибках в Windows Vista, но для целей данного руководства мы собираемся полностью отключить эту функцию.
8. Нажмите ОК.
9. Нажмите Закрыть.
10. Теперь вы можете закрыть окна Отчеты о проблемах и Решения и Панель управления.

Как открыть журнал

Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr.msc.

В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой – список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.

Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основных и две дополнительных категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные – «Установка» и «Перенаправленные события».

Категория «Система» содержит события, сгенерированные системными компонентами – драйверами и модулями Windows.

Ветка «Приложения» включает записи, созданные различными программами. Эти данные могут пригодиться как системным администраторам и разработчикам программного обеспечения, так и обычным пользователям, желающим установить причину отказа той или иной программы.

Третья категория событий «Безопасность» содержит сведения, связанные с безопасностью системы. К ним относятся входы пользователей в аккаунты, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам, запуск и остановка процессов и так далее.

Так как число событий может исчисляться тысячами и даже десятками тысяч, в eventvwr предусмотрена возможность поиска и фильтрации событий по свойствам – важности, времени, источнику, имени компьютера и пользователя, коду и так далее. Допустим, вы хотите получить список системных ошибок

Выберите слева Журналы Windows – Система, справа нажмите «Фильтр текущего журнала» и отметьте в открывшемся окне галочкой уровень события – пункты «Ошибка» и «Критическое». Нажмите «OK» и утилита тут же отфильтрует записи.

Чтобы просмотреть конкретную запись, кликните по ней дважды – сведения откроются в окошке «Свойства событий».

Как посмотреть и удалить историю активности в Windows 10?

Персонализация Microsoft не несет в себе ничего негативного, тем не менее многие пользователи предпочитают полную анонимность в интернете. Ведь только обретя ее, можно быть совершенно спокойными относительно всей конфиденциальной информации.

Чтобы проверить историю активности в Windows 10, выполните следующие действия:

1. Откройте меню Пуск.

2. Перейдите в Настройки. (Альтернативный способ запуска: Win + I).

3. Откройте раздел Конфиденциальность.

5. На странице Информационная панель конфиденциальности перейдите в раздел Журнал действий.

6. История активности включает в себя следующие параметры:

• Голосовые команды — работа с голосовым навигатором Cortana.
• Поиск — история запросов в Bing.
• Приложения и службы — все сетевые ресурсы и приложения,с которыми вы работали.
• Расположения — ваша геолокация.
• Обзор — работа с Microsoft Edge.
• Мультимедиа — работа с контентом (графика, музыка и др.)

7. Теперь вы можете свободно удалить всю найденную о вас информацию.

Обратите внимание! Удалить сразу “все” невозможно — сперва нужно выбрать один из фильтров и очистить его, затем переходите к следующему

Как очистить журнал событий в Windows 10

Очистить журнал событий в Windows 10 можно несколькими эффективными способами. До таких способов отнесем выполнение одной команды в командной стройке или же в оболочке Windows PowerShell, а также простое удаление событий прямо с журнала. Новичкам рекомендуем использовать только классическое приложение просмотр событий.

После открытия журнала достаточно нажать правой кнопкой мыши на категорию, журнал которой необходимо очистить и в контекстном меню выбираем пункт Очистить журнал… В открывшемся окне подтверждаем очистку журнала нажав кнопку Очистить.

Командная строка

1. Запускаем командную строку от имени администратора любым из способов рассмотренных нами ранее.
2. Копируем, вставляем и выполняем следующую команду: or /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

Windows PowerShell

1. Запускаем оболочку Windows PowerShell от имени администратора.
2. Выполняем следующую команду: wevtutil el | Foreach-Object {wevtutil cl «$_»}

Очистка кеша и истории браузеров

Третий пункт в нашем туду — очистка кеша и журнала браузеров. Тут сложностей никаких — каждый браузер позволяет сбросить список недавно посещенных сайтов.

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад. Я уже участник «Xakep.ru»

Я уже участник «Xakep.ru»

В сегодняшней статье рассмотрим различные способы очистки всех журналов событий в Windows.

Открыв «Просмотр событий» вы можете увидеть различные журналы Windows, в которых находятся разные предупреждения, ошибки приложений и системы, информационные сообщения. Бывало, что обычный пользователь не мог войти в систему из-за того, что журнал безопасности переполнен. В таком случае можно было войти в систему пользователем с правами администратора, очистить журнал и в его свойствах поставить затирание по необходимости.

Очистка, удаление и отключение журнала

На жестком диске файлы журнала занимают сравнительно немного места, тем не менее, у пользователя может возникнуть необходимость их очистить. Сделать это можно разными способами: с помощью оснастки eventvwr, командной строки и PowerShell. Для выборочной очистки вполне подойдет ручной способ. Нужно зайти в журнал событий, кликнуть ПКМ по очищаемому журналу в левой колонке и выбрать в меню опцию «Очистить журнал».

Если вы хотите полностью удалить все записи журнала, удобнее будет воспользоваться запущенной от имени администратора командной строкой. Команда очистки выглядит следующим образом:

for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

Вместо командной строки для быстрой и полной очистки журнала также можно воспользоваться консолью PowerShell. Откройте ее с повышенными правами и выполните в ней такую команду:

wevtutil el | Foreach-Object

При очистке через PowerShell в журнале могут остаться несколько записей. Это не беда, в крайнем случае события можно удалить вручную.

Итак, мы знаем, как открыть журнал событий, знаем, как его использовать и очищать, в завершение давайте посмотрим, как его полностью отключить, хотя делать это без особой нужды не рекомендуется, так как вместе с журналом событий отключатся некоторые, возможно нужные вам службы.

Командой services.msc откройте оснастку «Службы», справа найдите «Журнал событий Windows», кликните по нему дважды, в открывшемся окошке свойств тип запуска выберите «Отключено», а затем нажмите кнопку «Остановить».

Изменения вступят в силу после перезагрузки компьютера. Вот и все, больше системные и программные события регистрироваться не будут.

Как просмотреть и удалить историю активности в Windows 10

Windows 10 собирает и сохраняет историю активности как на вашем компьютере, так и в облаке. Сюда входят данные полученные от просмотра истории до информации о местоположении и т.д. К счастью, Microsoft упрощает просмотр всех этих данных, которые сохраняются, а также упрощает их удаление.

Какие данные отслеживает Windows 10?

Данные, которые собирает Windows, включают:

• История просмотра Edge
• История поиска Bing
• Данные о местоположении (если они включены)
• Голосовые команды Cortana

Если вы используете Microsoft HealthVault или Microsoft Band, любая деятельность, собранная через эту службу, также сохраняется. Microsoft заявляет, что собирает эти данные, чтобы предоставить вам более релевантные результаты и контент, который вас интересует.

Как удалить историю активности Windows 10

1. Вы можете легко увидеть, какие данные были сохранены и как их удалить. Существует два способа очистки истории активности: непосредственно в настройках вашего компьютера, или в вашей учетной записи Microsoft Cloud. Чтобы сделать это на своем компьютере, выполните следующие действия:

• Откройте «Настройки»> «Конфиденциальность»> «История активности».
• В разделе «Очистка истории событий» нажмите кнопку «Очистить».
• Если вы хотите, чтобы Windows не продолжала собирать эти данные, в разделе «Действия по сбору» отключите параметр: пусть Windows будет собирать мои действия.

2. Как просмотреть историю активности Windows 10

• Откройте «Настройки»> «Конфиденциальность»> «Общие» «Управление сведениями, хранящимися в облаке».

Откроется окно браузера, и вам может быть предложено войти в свою учетную запись.
Здесь вы должны увидеть, что ваши данные делятся на категории, перечисленные выше: «Журнал браузера», «Журнал поиска», «Действия расположения» и т.д. Вы можете просматривать и очищать данные в каждом разделе, нажав кнопку очистки данных, соответствующую каждому разделу, и нажмите кнопку, подтверждающую, что вы хотите ее удалить.

3. Вы также можете щелкнуть вкладку Журнал действий, чтобы просмотреть полный список всех типов данных: голосовых команд, поиска, историю просмотров и информацию о местоположении. Microsoft также упрощает фильтрацию по каждой категории, щелкая по ней.

Журнал событий в Windows: как его открыть и найти информацию об ошибке

Даже если вы за компьютером ничего не делаете — в процессе работы ОС Windows записывает часть данных в спец. документы (их еще называют логами или системными журналами). Как правило, под-запись попадают различные события, например, включение/выключение ПК, возникновение ошибок, обновления и т.д.

Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены…

В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).

Удалить историю защиты Защитника Windows

Это указывает количество дней, в течение которых элементы хранятся в папке журнала сканирования. По истечении этого времени Защитник Windows удаляет элементы.

Если вы укажете нулевое значение, Защитник Windows не будет удалять элементы.

Если вы не укажете значение, Защитник Windows удалит элементы из папки журнала сканирования по умолчанию, то есть за 30 дней.

Однако, если вы хотите очистить журнал защиты вручную, вы можете сделать это одним из трех следующих способов;

1. Использование командлета PowerShell Set-MpPreference
2. Удалить папку службы Защитника Windows с локального диска
3. Использование средства просмотра событий

Давайте посмотрим на шаги, связанные с каждым из перечисленных методов.

1. Использование командлета PowerShell Set-MpPreference

Set-MpPreference  командлета конфигурирует настройки для Windows Defender сканирует и обновления. Вы можете изменить расширения имен файлов исключений, пути или процессы, а также указать действие по умолчанию для высокого, среднего и низкого уровней угрозы.

Вы можете указать другой период задержки (в днях), запустив приведенный ниже командлет в режиме администратора PowerShell (нажмите Win + X, а затем нажмите A на клавиатуре):

Set-MpPreference -ScanPurgeItemsAfterDelay 1

Указанное число 1 — это количество дней, по истечении которых журнал истории защиты и элементы в папке журнала будут очищены.

2.Удалите папку службы Защитника Windows с локального диска.

Чтобы вручную очистить журнал защиты, этот метод требует, чтобы вы удалили папку Service в папке Защитника Windows на локальном диске.

Вот как:

• Нажмите клавишу Win + R, чтобы вызвать диалоговое окно «Выполнить».
• В диалоговом окне «Выполнить» скопируйте и вставьте путь, указанный ниже, и нажмите Enter (при появлении запроса нажмите « Продолжить» ).

C: \ ProgramData \ Microsoft \ Защитник Windows \ Scans \ History

Теперь кликните правой кнопкой мыши папку Service в этом месте и выберите Удалить.

Вы можете выйти из проводника.

• Затем откройте Безопасность Windows > Защита от вирусов и угроз > Управление настройками.
• Переключите кнопку в положение «Выкл». А затем снова в положение « Вкл.» Для защиты в реальном времени и защиты с помощью  облака.

3.Использование средства просмотра событий

Чтобы вручную очистить журнал защиты Защитника Windows с помощью средства просмотра событий (eventvwr), выполните следующие действия:

• • Нажмите клавишу Win + R, чтобы вызвать диалоговое окно «Выполнить».
  • В диалоговом окне «Выполнить» введите eventvwr и нажмите Enter, чтобы открыть средство просмотра событий.
  • В разделе «Средство просмотра событий (локальное)» в левой части панели разверните  параметр «Журналы приложений и служб».
  • Под этим разверните  опцию Microsoft.
  • Кликните Windows, чтобы открыть список всех файлов на средней панели.
  • На средней панели прокрутите вниз, чтобы найти Защитник Windows в списке файлов.
  • Кликните правой кнопкой мыши Защитник Windows и выберите Открыть.
  • Из двух опций на средней панели кликните правой кнопкой мыши на Operational и выберите Open, чтобы просмотреть все прошлые журналы.
  • Теперь в  папке Защитника Windows на левой панели кликните правой кнопкой мыши  Operational.
  • Кликните Очистить журнал…  в меню.
  • Выберите Очистить или Сохранить и очистить в зависимости от ваших требований, чтобы очистить журнал защиты.

  Выше перечислены 3 известных способа вручную очистить историю защиты Защитника Windows в Windows 10.

Как в него войти?

Щелкните правой кнопкой мыши по значку главного системного меню. Второй вариант, предназначенный преимущественно для сенсорных экранов, тапните по нему и некоторое время удерживайте до появления на дисплее контекстного меню. Отсюда предстоит перейти к просмотру событий.

Когда журнал откроется, вы увидите в левой верхней части окна строку меню и панель. Слева располагается вложенное окошко, в котором вы сможете выбирать, какие именно события хотите просмотреть. В их числе – относящиеся к определенными приложениям, системе в целом и ее безопасности.

И, впервые открыв это полезнейший инструмент, не спешите огорчаться и начинать считать, что ваш компьютер функционирует некорректно. Дело в том, что вы увидите огромное множество – исчисляемое сотнями, а, вероятно, и тысячами – сообщений об ошибках. И это вполне в пределах нормы. Даже в стабильно выполняющей свои задачи компьютерной системе бывает немало различных незначительных сбоев.

Структура просмотрщика журнала событий

Утилита просмотра событий не слишком дружественна к неопытному пользователю. Интуитивно понятной ее точно не назовешь. Но, несмотря на устрашающий вид, юзать ее вполне можно.

Левая часть окна содержит каталоги журналов, среди которых есть 2 основных. Это журналы Windows, где хранятся записи о событиях операционной системы; и журналы приложений и служб, куда ведутся записи о работе служб и установленных программ. Каталог «Настраиваемые представления» содержит пользовательские выборки – группы событий, отсортированных по какому-либо признаку, например, по коду, по типу, по дате или по всему сразу.

Середина окна отображает выбранный журнал. В верхней части находится таблица событий, где указаны их уровни, даты, источники, коды и категории задачи. Под ней – раздел детальной информации о конкретных записях.

Правая сторона содержит меню доступных операций с журналами.

Windows Repair

Windows Repair (All in One) – это еще один бесплатный и полезный инструмент восстановления Windows 10, который можно использовать для устранения многочисленных проблем Windows 10. Разработчик Windows Repair настоятельно рекомендует вам запустить инструмент в безопасном режиме системы для максимального эффекта. Утилита Windows Repair как раз и имеет специальную кнопку Reboot to Safe Mode для быстрой перезагрузки в требуемый режим.

Предлагаемые исправления включают разрешения реестра, разрешения файлов, настройки брандмауэра Windows, исправления кэша Winsock и DNS, проблемы Центра обновления Windows и многое другое. Средство восстановления Windows проведет вас через процесс исправления, который автоматизирует утилиты Windows «Проверка диска» (chkdsk) и «Проверка целостности системных файлов» (sfc).

Если утилиты не решат ваши проблемы, и вы осознаете риск дальнейших действий, то можете перейти на вкладку Repairs. Здесь вам предложат целых шесть вариантов дальнейших действий. Кнопка Open repairs открывает панель восстановления, содержащую многочисленные доступные исправления. Другие опции настроены для устранения конкретных проблем, таких, как удаление вредоносных программ, нарушение доступа к файлам и сбой в обновлении Windows.

К сожалению, приложение не переведено на русский язык.

Открываем «Историю файлов» в Windows 10

Прежде чем вы сможете изменить любые параметры «Истории файлов», вам потребуется подключить внешний жесткий диск или USB-накопитель с большим количеством свободного места, который будет использоваться для ваших резервных копий. Затем нужно открыть приложение «Параметры».

Важно: приложение «Параметры» пришло на смену старой доброй «Панели управления». Разработчики постарались сделать его более удобным в использовании с помощью мыши и клавиатуры, а также адаптировали под сенсорное управление на планшетах и гибридных устройствах 2-в-1

Открыть его можно различными способами. Познакомиться с ними можно здесь.

В окне приложения открываем щелчком или касанием, в случае сенсорного управления, раздел с названием «Обновление и безопасность»

и в этом разделе открываем «Службу архивации»:

Разработчики десятки изменили набор параметров, доступный в этом окне и сделали его более удобным для управления с сенсорных устройств. В основном меню «Службы архивации» теперь доступно включение/отключение «Истории файлов» (1). Если вы уже подключили внешнее устройство охранения данных, то после активации «История файлов» будет автоматически создавать резервные копии всех библиотек (как библиотек по умолчанию, так и созданных пользователем).

В области резервного копирования возвращен инструмент, которого не было в Windows 8 и 8.1 – старая функция «Восстановление системы». Это связано с попыткой Microsoft привлечь к Windows 10 поклонников семерки. Эта функция позволит в Win 10 восстанавливать резервные копии, сделанные в Win 7 и Win 8 (2).

Под кнопкой включения/отключения «Истории файлов» есть ссылка «Другие параметры», нажав или коснувшись которой мы откроем дополнительное меню. В нем можно изменить настройки «Истории файлов». В Windows 8.1 такой возможности не было, приходилось все настройки делать через «Панель управления».

6 ответов

18

Цикл и удаление с промежуточным файлом

Вот командный файл, в котором WEVTUTIL.exe отображается список журналов в текстовый файл, а затем использовать этот текстовый файл для удаления каждого из журналов.

Если вы чувствуете себя небезопасным, имея все это в одном пакетном файле, вы можете сохранить его в двух отдельных файлах, а затем запустить один за другим:
(Партия «Nuke» будет просто ошибочной, если она не найдет «loglist.txt» в ее текущем каталоге.)

Nuke-LogList.cmd

Цикл и удаление напрямую

Как заметил Логман в своем ответе , это может быть дополнительно сокращено (и исключить необходимость в промежуточном тексте файл), используя что-то вроде (% double для пакетного файла):

Запуск от имени администратора!

Каким бы способом вы ни выбрали, убедитесь, что вы «Запускаете как администратор».

Самое простое решение, которое я нашел. Использовал его с Vista.

19

Откройте приглашение cmd или создайте пакетный скрипт и «запустите как admin»:

Код Powershell для очистки всех журналов событий:

или выберите и выберите в сценарии:

и т.д …

Вы можете получить полный список всех названий категорий событий, введя следующее в командной строке cmd или в командной строке:

Дополнительную информацию можно найти на MS TechNet . Примеры:

Экспортировать события из системного журнала в C: \ backup \ system0506.evtx:

Удалить все события из журнала приложений после сохранения их в C: \ admin \ backups \ a10306.evtx:

4

• wevtutil довольно медленный, особенно когда вы очищаете все журналы (включая пустые)

• Самое быстрое решение: я придумал:

Resul: «Очищено 16 событий в 4 журналах: 0.3684785 секунд»

Каждая часть:

• получает только журналы, содержащие события (будут повторяться логические имена)

  ForEach ($ l in (Get-WinEvent *) .LogName | sort | get-unique)

• очистить каждый

  System.Diagnostics.Eventing.Reader.EventLogSession] :: GlobalSession.ClearLog («$ l»)

  

  

  

  

  

  

  

  

Полная функция:

Если вы видите «Get-WinEvent: данные недействительны», вы попали в недокументированный жесткий лимит из 256 журналов. Может потребоваться сначала отфильтровать журналы. Ниже перечислены только журналы, в которых есть события (кредит http://www.powershellish.com/blog/2015/01/19/get-winevent-max-logs/ для диагностики):

3

Важно использовать опцию delim, если в именах есть пробелы:

Вы также можете легко отключить ведение журнала событий, не останавливая службу журнала событий:

Конечно, это приведет к отключению фактически установленных программных событий, если вы установите новое программное обеспечение, оно будет включено по умолчанию. Но хорошо, что вы можете оставить планировщик заданий, поэтому просто делайте это каждый месяц; -)

2

BTW, это очищает все файлы журнала, которые могут (в зависимости от предыдущих настроек) освобождать довольно некоторое пространство

Нюансы работы в журнале событий

Число обозреваемых событий может исчисляться тысячами и даже десятками тысяч. Для создания комфортных условий работы журнал событий в Windows 10 оснащен встроенным фильтром. Он позволяет отсортировать имеющуюся информацию по:

важности;
времени;
источнику;
имени компьютера и пользователя;
коду и прочим параметрам.

Но найти в журнале необходимую ошибку это полбеды. Специфичность содержащихся сведений не каждому позволит сходу понять в чём проблема. Например, пользователь может увидеть нечто вроде:

Регистрация сервера {BF6C1E47-86EC-4194-9CE5-13C15DCB2001} DCOM не выполнена за отведенное время ожидания

Поиск описания потребует выхода в интернет и посещения сайта Microsoft. Или иных ресурсов, предоставляющих подобную информацию.

Стоит упомянуть, что наличие ошибок – нормальное явление ОС. Любые, даже самые незначительные сбои вносятся в реестр. Так что не стоит переживать, обнаружив их в журнале.