Очищення журналів подій windows за допомогою powershell і wevtutil, windows для системних

Очищення журналів подій windows за допомогою powershell і wevtutil, windows для системних

Очищення журналів подій за допомогою PowerShell

Запустіть консоль PowerShell з правами адміністратора і за допомогою наступної команди виведіть список всіх наявних в системі класичних журналів подій з їх максимальними розмірами і кількістю подій в них.

Очищення журналів подій windows за допомогою powershell і wevtutil, windows для системних
Для видалення всіх подій з конкретного журналу подій (наприклад, журналу System), скористайтеся командою:

Clear-EventLog -LogName System

В результаті, всі події з цього журналу будуть видалені, а в журналі події залишиться тільки одна подія EventId 104 з текстом «The System log file was cleared».

Очищення журналів подій windows за допомогою powershell і wevtutil, windows для системних
Для очищення всіх журналів подій потрібно б перенаправити імена журналів в конвеєр, однак, на жаль це заборонено. Тому нам доведеться скористатися циклом ForEach:

Таким чином, будуть очищені всі класичні журнали EventLogs.

Очищення журналів за допомогою консольної утиліти WevtUtil.exe

Для роботи з подіями в Windows вже досить давно є в наявності потужна утиліта командного рядка WevtUtil.exe. Її синтаксис трохи важкувато на перший погляд. Ось, наприклад, що повертає help утиліти:

Очищення журналів подій windows за допомогою powershell і wevtutil, windows для системних
Щоб вивести список зареєстрованих в системі журналів подій, виконайте команду:

WevtUtil enum-logs

або коротший варіант:

На екрані відобразиться досить значний список наявних журналів.

Примітка. Порахувати їх кількість можна за допомогою команди WevtUtil el | Measure-Object. У моєму випадку, в Windows 10 налічується 1053 різних журналів).

Очищення журналів подій windows за допомогою powershell і wevtutil, windows для системних
Можна отримати більш детальну інформацію по конкретному журналу:

WevtUtil gl Setup

Очищення подій в конкретному журналі виконується так:

WevtUtil cl Setup

Перед очищенням можна створити резервну копію подій в журналі, зберігши їх у файл:

WevtUtil cl Setup /bu:SetupLog_Bak.evtx

Щоб очистити відразу всі журнали, можна скористатися Командлети Powershell Get-WinEvent для отримання всіх об'єктів журналів і Wevtutil.exe для їх очищення:

Примітка. У нашому прикладі не вдалося очистити 3 журналу через помилку доступу. Варто спробувати очистити вміст цих журналів з консолі Event Viewer.

Очищення журналів може бути виконана і з класичної командного рядка:

for / F "tokens = *"% 1 in ( 'wevtutil.exe el') DO wevtutil.exe cl "% 1"

  • Відображення всіх користувачів системи на екрані входу Windows 10
  • Боремося з ростом файлу Windows.edb служби пошуку Windows
  • Як скинути настройки брандмауера Windows 10 на стандартні
  • Як вивести список встановлених програм в Windows 10
  • Нова накопичувальна модель оновлення Windows 7 і 8.1