Как почистить журнал событий в windows 10

Как в Windows 8.1 и 10 полностью очистить журналы событий

Каждое событие Windows, имеющее значение средней важности и выше, записывается системой в особый лог. Он так и называется — журнал событий. Он содержит массу полезной информации, включая сведения об ошибках и сбоях, что может пригодиться при поиске и устранении их причин. Но иногда у пользователя возникает необходимость полностью очистить журнал событий, удалив из него все записи.

Конечно, сделать это можно через графический интерфейс просмотрщика eventvwr.msc, но на это придется потратить время так как журнал событий в Windows имеет несколько подразделов, и очищать каждый из них нужно отдельно. Гораздо удобнее использовать для этих целей консоль PowerShell или штатную утилиту Wevtutil. Для начала получим список всех имеющихся в Windows журналов.

Запустите PowerShell от имени администратора и выполните такую команду:

Get-EventLog –LogName *

Чтобы очистить конкретный раздел журнала выполните команду следующего вида:

Clear-EventLog –LogName NAME

При этом на место NAME подставьте нужное вам значение (название раздела) из колонки Entries Log. Обратите внимание, что при этом в очищенном разделе останется только одно событие — запись о самой очистке. Если же вам нужно разом очистить все разделы, придется воспользоваться рекурсией.

В этом случае команда будет такой:

Get-EventLog -LogName * | ForEach

Второй способ очистки журналов событий Windows предполагает использование мощной консольной утилиты Wevtutil.

Этот инструмент является встроенным в систему и предназначается он как раз для работы с записями журнала. Его синтаксис довольно сложен, хотя это не удивительно, поскольку рассчитана Wevtutil в основном на системных администраторов. Но нам из всех ее команд нужно знать только две: вывод списка журналов и их удаление.

Для получения данных используем такую команду:

WevtUtil enum-logs

В результате вы получите внушительный список записей журналов.

Чтобы разом очистить все разделы, воспользуйтесь комбинацией командлета Get-WinEvent и самой утилиты Wevtutil .

Get-WinEvent -ListLog * -Force | %

Если что-то не удастся очистить из-за ошибки доступа как в приведённом примере, ничего страшного, — попробовать удалить оставшиеся записи можно из графического интерфейса самого просмотрщика журнала событий.

Три способа очистить журнал событий в Windows 10

П ри анализе неполадок в работе Windows администраторами нередко используются сведения из системного журнала, в который автоматически записываются все более или менее важные события. Журнал Windows хранит много полезных сведений, тем не менее, у вас может возникнуть необходимость его очистить. Сделать это можно несколькими способами. Удаление записей журнала вручную используется чаще всего, так как позволяет очищать конкретные разделы.

Ручная очистка

Здесь всё предельно просто. Откройте через меню Пуск оснастку событий, разверните журнал и, кликнув правой кнопкой на нужный раздел, выберите в меню опцию «Очистить журнал…».

Данные будут удалены.

С помощью командной строки

Для быстрой очистки всех разделов сразу можно использовать командную строку. Запустите консоль от имени администратора и выполните в ней такую команду:

for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"

После нажатия Enter вы увидите, как удаляются записи.

Эта команда очищает журнал полностью, впрочем, с помощью командной строки можно также можно очистить конкретный журнал.

Сначала командой wevtutil el|more выведите список доступных журналов.

Выберите нужный и очистите его, выполнив команду следующего вида:

wevtutil.exe cl NameLog

NameLog в данном случае — имя очищаемого журнала.

Его нужно будет заменить реальным именем, взятым из полученного ранее списка.

С помощью PowerShell

Для полной очистки журнала событий Windows 10 также можно использовать PowerShell . Запустите консоль от имени администратора и выполните в ней связку двух командлетов:

wevtutil el | Foreach-Object

За исключением пары-тройки записей, к которым вы не имеете прямого доступа, всё содержимое журнала Windows будет полностью удалено.

Очистка журналов событий Event Viewer в Windows

09.11.2023

itpro

PowerShell, Windows 10, Windows 11, Windows Server 2019

комментария 2

В Windows вы можете очистить журналы событий Event Viewer с помощью графической оснастки eventvwr.msc, из командной строки и с помощью PowerShell.

Очистка журнал событий из графической консоли Event Viewer

Самый интуитивный способ очистки журналов событий Windows – воспользоваться графической консоль Event Viewer.

1. Запустите консоль eventvwr.msc ;
2. Щелкните правой кнопкой по журналу и выберите Clear Log;

Такой способ позволяет быстро удалить все события из одного конкретного журнала. Однако в Windows используется несколько сотен журналов для разных компонентов операционной системы и стороннего ПО.

По умолчанию Windows хранит журналы в файлах с расширением EVTX в каталоге %SystemRoot%\System32\Winevt\Logs\ .

Если вам нужно очистить их все – это будет утомительно вручную прощелкать все разделы Event Viewer и очистить каждый журнал. В этом случае для удаления событий лучше использовать PowerShell или командную строку.

Удаление логов Windows из командной строки

Для очистки журналов Windows из командной строки используется утилита wevtutil.exe.

Вывести список зарегистрированных в Windows журналов событий:

или короткий вариант:

Для удаления событий из одного конкретного журнала, скопируйте его имя и выполните команду:

WevtUtil cl Microsoft-Windows-GroupPolicy/Operational

Перед очисткой можно создать резервную копию событий в журнале в отдельный файл:

WevtUtil cl Microsoft-Windows-GroupPolicy/Operational /bu:GPOLOG_Bak.evtx

Можно очистить сразу все журналы событий из cmd.exe:

for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

Для BAT файла нужно использовать немного другой синтаксис:

for /F «tokens=*» %%1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%%1»

Clear-EventLog: команда PowerShell для очистки журналов событий

В PowerShell для получения списка журналов событий Windows и их очистки можно использовать командлеты Get-WinEvent и Clear-EventLog.

Откройте консоль PowerShell с правами администратора, выведите список всех имен журналов в Windows и их настройки:

Чтобы удалить все события из двух журналов (например, журналов Security и System), выполните команду:

Clear-EventLog –LogName Security,System

При этом журнал очищается, и в него записывается событие с EventID 104 или 1102 с временем очистки, пользователем, выполнившим и описанием:

The System log file was cleared The audit log was cleared.

Для очистки административных и операционных журналов событий Windows, выполните такую однострочную команду PowerShell:

Get-WinEvent -ListLog * -Force | %

wevtutil el | Foreach-Object

Примечание. В нашем примере не удалось очистить 3 журнала из-за ошибки доступа. Попробуйте вручную очистить содержимое этих журналов из консоли Event Viewer.

Предыдущая статья Следующая статья

Читайте далее в разделе PowerShell Windows 10 Windows 11 Windows Server 2019

Просмотр и анализ логов RDP подключений в Windows

Отправка писем из Outlook с помощью VBA макроса или PowerShell

Поиск и удаление писем в ящиках Exchange Server (Microsoft 365) с помощью PowerShell

Не работает поиск в Windows 10 или 11

Журнал событий в Windows 10: где найти, как зайти и как очистить

Многие пользователи ПК даже не догадываются о наличии на их устройстве очень полезного дополнения. Оно фиксирует все события, происходящие в ОС. А ведь считывание и запись данных происходит даже в период отсутствия активности со стороны человека. Журнал событий в Windows 10 предоставляет пользователю возможность ознакомиться с ошибками, предупреждениями и прочей немаловажной информацией.

В некоторых случаях анализ этих данных может значительно облегчить поиск причин возникновения неисправностей. А это важный шаг на пути к их устранению и даже предупреждению. Конечно, к подобным манипуляциям чаще прибегают владельцы серверов. Однако рядовому пользователю изучение истории также может быть полезным.

Общие сведения про журнал событий

Чисто физически журнал является набором файлов с расширением .evtx. Они содержат текстовые данные и хранятся в системной папке:

%SystemRoot%/System32/Winevt/Logs

Но открыть их одним из текстовых редакторов не представляется возможным. Для изучения их содержимого в ОС системе предусмотрена специальная утилита «eventvwr».

Как зайти в журнал событий в Windows 10

Запуск утилиты осуществляется несколькими способами. Первый подразумевает использование окна «Выполнить». Для этого необходимо:

1. Зажатием клавиш «Win» + «R» вызвать окно.
2. Прописать команду «eventvwr».
3. Нажать «OK».

А второй требует использования панели управления, где требуется:

1. Выбрать раздел «Система и безопасность».
2. Проследовать в подраздел «Администрирование».
3. Выбрать «Просмотр событий».

Попав в журнал событий в Windows 10, можно приступить к разбору его интерфейса.

В левой колонке расположены журналы событий. Они уже отсортированы по разделам. Что облегчает работу пользователя. Наибольший интерес представляет раздел «Журналы Windows», состоящий из категорий:

• Приложение (основная) — записи, созданные программами.
• Безопасность (основная) — сведения о безопасности системы.
• Установка (дополнительная).
• Система (основная) — сведения о работе системных компонентов.
• Перенаправленные события (дополнительная).

По центру утилиты расположено два окна. Первое отображает произошедшие события. А второе подробную информацию о каждом из них. Правая же колонка содержит рабочие инструменты журнала.

Нюансы работы в журнале событий

Число обозреваемых событий может исчисляться тысячами и даже десятками тысяч. Для создания комфортных условий работы журнал событий в Windows 10 оснащен встроенным фильтром. Он позволяет отсортировать имеющуюся информацию по:

• важности;
• времени;
• источнику;
• имени компьютера и пользователя;
• коду и прочим параметрам.

Но найти в журнале необходимую ошибку это полбеды. Специфичность содержащихся сведений не каждому позволит сходу понять в чём проблема. Например, пользователь может увидеть нечто вроде:

Регистрация сервера DCOM не выполнена за отведенное время ожидания

Поиск описания потребует выхода в интернет и посещения сайта Microsoft. Или иных ресурсов, предоставляющих подобную информацию.

Стоит упомянуть, что наличие ошибок – нормальное явление ОС. Любые, даже самые незначительные сбои вносятся в реестр. Так что не стоит переживать, обнаружив их в журнале.

Как очистить журнал событий в Windows 10

Среди способов, как почистить журнал событий в Windows 10, можно выделить 5 основных.

Ручная очистка журнала

Этот способ весьма прост. Он не требует специальных навыков или дополнительного софта. Все что необходимо, это:

1. Открыть журнал событий.
2. Нажать правой кнопкой мыши на необходимый раздел.
3. Выбрать команду «Очистить журнал…».

Как вы, наверное, заметили, это самый простой способ. Однако некоторые ситуации требуют прибегнуть к иным методам.

Создание файла .bat

Этот способ также позволяет быстро провести очистку. Для его реализации вам потребуется код:

@echo off FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V IF (%adminTest%)==(Access) goto theEnd for /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G") goto theEnd :do_clear echo clearing %1 wevtutil.exe cl %1 goto :eof :theEnd

Его необходимо использовать в следующем алгоритме:

1. Создайте текстовый документ.
2. Скопируйте в него код, указанный выше.
3. Сохраните документ с расширением .bat (подробнее о расширениях можно прочесть в статье «Расширения файлов Windows. Как открыть и изменить расширения файлов»)
4. Запустите полученный файл от имени администратора.

После этого все отчеты будут удалены.

Очистка через командную консоль

Очистить журнал событий в Windows 10 можно и при помощи данного инструмента. Для этого потребуется:

1. Нажать клавишу «Win».
2. Вести «Командная строка».
3. Запустить утилиту от имени администратора.
4. Ввести указанную ниже команду и нажать «Enter».

Чистка журнала событий через PowerShell

PowerShell – более продвинутая версия командной строки. Очистка журнала событий с его помощью проводится аналогичным образом. За исключением вводимой команды. В данном случае она имеет следующий вид:

При помощи программы CCleaner

Эта прекрасная программа занимается очисткой системы Windows. В том числе и записей в журнале событий. А значит вы можете не только избавится от данных, но и ускорить работу системы. Для этого:

1. Скачайте и установите программу CCleaner.
2. Перейдите в раздел «Очистка».
3. На вкладке «Windows» установите галочку напротив необходимого пункта.
4. Запустите процесс.

По завершению процедуры журнал событий будет очищен, а работа ОС оптимизирована.

Поделиться
Автор статьи: Виталий Разанов

Друзья, если вы заметили на сайте какой-нибудь баг, то напишите об этом в комментариях или отправьте сообщение на почту через контакты, и мы его исправим.

А также мы будем рады услышать ваши пожелания, если вам по какой-то причине неудобно пользоваться сайтом.

Не будьте равнодушными к проекту. Спасибо! 🙂

Понравилась статья?

Нам очень приятно! Не могли бы вы поделиться этой статьей с друзьями? А также мы будем рады, если вы оставите комментарий.

Обещаем исправиться! Если вам есть, чем дополнить статью, напишите об этом в комментариях. А также будем благодарны за конструктивную критику. Спасибо!