Опция очистки журнала защиты в интерфейсе Microsoft Defender (Защитник Windows) отсутствует, однако иногда может возникнуть необходимость удалить из него обнаруженные угрозы: сделать это возможно.
В этой инструкции подробно о том, как очистить журнал защиты Windows 11 и Windows 10, а также дополнительная полезная информация в контексте рассматриваемой темы.
Очистка журнала защиты путем удаления файлов журнала
Файлы, хранящие информацию, отображающуюся в журнале защиты в окне «Безопасность Windows» находятся в папке
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service
Однако, попытка простого удаления этих файлов в Проводнике с большой вероятностью не удастся: вы увидите сообщение о том, что «Вам отказано в доступе к этой папке» при переходе к ней вручную или о том, что не удается найти указанную папку.
Я не рекомендую изменять владельца и права доступа к папкам Microsoft Defender, вместо этого используйте следующие шаги:
- Загрузите компьютер в безопасном режиме: для этого можно нажать клавиши Win+R, ввести msconfig, затем на вкладке «Загрузка» включить «Безопасный режим», применить настройки и перезагрузить компьютер. Есть и другие способы загрузки в безопасном режиме.
- После загрузки в безопасном режиме перейдите к папке
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service
сделать это можно вручную (но учитывать, что папка ProgramData скрытая), либо скопировать путь, вставить в адресную строку проводника и нажать Enter.
- Удалите всё содержимое этой папки. В некоторых случаях один из файлов не удаляется — обычно это не влияет на результат очистки журнала.
- Ещё один способ удаления: в командной строке, запущенной от имени администратора, введите команду
del "%ProgramData%\Microsoft\Windows Defender\Scans\History" /s /f /q
- Отключите загрузку в безопасном режиме (так же в msconfig) и перезагрузите компьютер, журнал защиты будет очищен:
Ещё один вариант выполнить то же самое, если внутри Windows выполнить действие не удается — загрузиться загрузочной флешки WinPE и удалить содержимое указанной папки на диске.
Просмотр событий Windows
Несмотря на то, что журнал защиты в окне «Безопасность Windows» будет очищен способом, рассмотренным выше, увидеть обнаружения можно также в «Просмотре событий» Windows. Вы можете удалить эти сведения и там:
- Нажмите клавиши Win+R на клавиатуре, введите eventvwr.msc и нажмите Enter.
- В просмотре событий перейдите к разделу Журналы Windows — Журналы приложений и служб — Microsoft — Windows — Windows Defender, раскройте этот раздел.
- Нажмите правой кнопкой мыши по журналу «Operational» и выберите пункт «Очистить журнал».
- Подтвердите очистку журнала.
Автоматическая очистка журнала
При необходимости вы можете настроить время, по прошествии которого записи в журнале защиты будут удаляться автоматически.
Сделать это можно в PowerShell (Терминале Windows), достаточно запустить его от имени администратора и ввести команду (в примере — удаление события из журнала производится через 1 сутки)
Set-MpPreference -ScanPurgeItemsAfterDelay 1
Второй вариант, который подходит только для редакций Windows Pro и Enterprise — редактор локальной групповой политики:
- Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter.
- Перейдите к разделу Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Антивирусная программа Microsoft Defender — Проверка.
- В правой панели редактора дважды нажмите по политике «Включить удаление элементов из папки журнала проверок».
- Установите для неё значение «Включено», а затем — значение в днях (0 — хранятся бессрочно, по умолчанию — 30). Примените настройки.
Надеюсь, информация была полезной. Если же у вас остались вопросы, касающиеся рассмотренной темы, вы можете задать их в комментариях ниже: возможно, мне удастся вам помочь.
В Windows вы можете очистить журналы событий Event Viewer с помощью графической оснастки eventvwr.msc, из командной строки и с помощью PowerShell.
Содержание:
- Очистка журнал событий из графической консоли Event Viewer
- Удаление логов Windows из командной строки
- Clear-EventLog: команда PowerShell для очистки журналов событий
Очистка журнал событий из графической консоли Event Viewer
Самый интуитивный способ очистки журналов событий Windows – воспользоваться графической консоль Event Viewer.
- Запустите консоль
eventvwr.msc
;
- Щелкните правой кнопкой по журналу и выберите Clear Log;
Такой способ позволяет быстро удалить все события из одного конкретного журнала. Однако в Windows используется несколько сотен журналов для разных компонентов операционной системы и стороннего ПО.
По умолчанию Windows хранит журналы в файлах с расширением EVTX в каталоге
%SystemRoot%\System32\Winevt\Logs\
.
Если вам нужно очистить их все – это будет утомительно вручную прощелкать все разделы Event Viewer и очистить каждый журнал. В этом случае для удаления событий лучше использовать PowerShell или командную строку.
Удаление логов Windows из командной строки
Для очистки журналов Windows из командной строки используется утилита wevtutil.exe.
Вывести список зарегистрированных в Windows журналов событий:
WevtUtil enum-logs
или короткий вариант:
WevtUtil el
Для удаления событий из одного конкретного журнала, скопируйте его имя и выполните команду:
WevtUtil cl Microsoft-Windows-GroupPolicy/Operational
Перед очисткой можно создать резервную копию событий в журнале в отдельный файл:
WevtUtil cl Microsoft-Windows-GroupPolicy/Operational /bu:GPOLOG_Bak.evtx
Можно очистить сразу все журналы событий из cmd.exe:
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
Для BAT файла нужно использовать немного другой синтаксис:
for /F "tokens=*" %%1 in ('wevtutil.exe el') DO wevtutil.exe cl "%%1"
Clear-EventLog: команда PowerShell для очистки журналов событий
В PowerShell для получения списка журналов событий Windows и их очистки можно использовать командлеты Get-WinEvent и Clear-EventLog.
Откройте консоль PowerShell с правами администратора, выведите список всех имен журналов в Windows и их настройки:
Get-WinEvent -ListLog *
Команда выведет максимальные размеры и параметры всех журналов событий Windows.
Чтобы удалить все события из двух журналов (например, журналов Security и System), выполните команду:
Clear-EventLog –LogName Security,System
При этом журнал очищается, и в него записывается событие с EventID 104 или 1102 с временем очистки, пользователем, выполнившим и описанием:
The System log file was cleared The audit log was cleared.
Для очистки административных и операционных журналов событий Windows, выполните такую однострочную команду PowerShell:
Get-WinEvent -ListLog * -Force | % { Wevtutil.exe cl $_.Logname }
Или:
wevtutil el | Foreach-Object {wevtutil cl "$_"}
Примечание. В нашем примере не удалось очистить 3 журнала из-за ошибки доступа. Попробуйте вручную очистить содержимое этих журналов из консоли Event Viewer.
Repository files navigation
Clear Event Logs
This is a simple batch script that clears all Windows Event Logs. It uses the wevtutil command-line tool to clear each log.
Prerequisites
To run this script, you need to have administrative privileges on your computer. If you do not have administrative privileges, the script will display an error message and exit.
How to Use
- Download the file Clear_Event_Viewer_Logs.bat
- Run it as Administrator.
Notes
- The script saves the output of the
bcdeditandwevtutilcommands to temporary files in the same directory as the script. These files are deleted after the script completes. - The script has been tested on Windows 10, but should work on other versions of Windows as well.
About
This is a simple batch script that clears all Windows Event Logs. It uses the wevtutil command-line tool to clear each log.
Topics
Resources
Readme
Activity
Stars
1
star
Watchers
2
watching
Forks
1
fork
Все способы:
- Способ 1: Ручное удаление файлов истории
- Способ 2: Очистка журнала событий
- Способ 3: Использование консольной утилиты
- Способ 4: Настройка локальной групповой политики
- Способ 5: Удаление временных файлов
- Просмотр текущего состояния журнала защиты
- Вопросы и ответы: 3
Способ 1: Ручное удаление файлов истории
Самый надежный метод очистки журнала защиты в Windows 11 — ручное удаление файлов истории. Для этого понадобится сначала показать скрытые файлы и папки, затем перейти по нужному расположению и выполнить удаление. Весь процесс не займет много времени, а его принцип показан в следующей инструкции.
- Как вы уже знаете из предыдущего абзаца, сначала понадобится настроить отображение скрытых файлов. Осуществляется это через окно «Параметры папок», о чем можете прочитать в другой статье на нашем сайте, перейдя по следующей ссылке.
Подробнее: Отображение скрытых файлов и папок в ОС Windows 11
- Следующее необходимое действие — переход по пути расположения файлов журнала защиты. Откройте «Проводник» и самостоятельно перейдите в
C:\ProgramData\Microsoft\Windows Defender\Scans\History, чтобы попасть в конечный каталог. - В папке вам необходимо отыскать директорию с названием «Service».
- Щелкните по ней правой кнопкой мыши и из появившегося контекстного меню выберите действие «Удалить», кликнув по значку с изображением корзины. Подтвердите очистку файлов и, желательно, перезагрузите компьютер, чтобы затем перейти и посмотреть, был ли удален журнал защиты.
Способ 2: Очистка журнала событий
Каждое действие, выполненное стандартной антивирусной защитой в Windows 11, записывается в журнал, чтобы пользователь всегда знал, что изменилось в операционной системе. Записи из этого журнала загружаются и в окно с историей защиты, поэтому удаление приведет к очистке списка. Вам понадобится лишь найти соответствующий журнал, чтобы выполнить требуемое действие.
- Для этого откройте «Пуск», отыщите приложение «Просмотр событий» и запустите его.
- Откройте каталог «Журналы приложений и служб», далее разверните «Microsoft» и выберите директорию «Windows».
- В ней найдите папку «Windows Defender» и тоже откройте ее для просмотра существующих файлов.
- Левой кнопкой мыши выделите файл с названием «Operational», чтобы на панели справа появился список действий. Щелкните по «Очистить журнал…».
- В появившемся предупреждении вы можете выбрать вариант с сохранением содержимого в виде файла или нажать «Очистить», чтобы сразу запустить удаление.
- Спустя секунду посмотрите на количество записей в «Operational». Если теперь этот журнал пустой, значит, очистка выполнена успешно.
Способ 3: Использование консольной утилиты
Еще один доступный метод, позволяющий удалить журнал защиты в Windows 11, подразумевает использование консольной команды, которая по запросу очистит все связанные файлы. От вас требуется только запустить само действие, после чего все остальные шаги выполнятся в автоматическом режиме.
- Щелкните правой кнопкой мыши по «Пуску» и из появившегося меню выберите пункт «Терминал Windows (Администратор)».
- Введите команду
Set-MpPreference -ScanPurgeItemsAfterDelay 1и нажмите Enter для ее применения. Вместо «1» можете указать любое число, поскольку это определяет задержку, с которой будет выполнена команда в секундах. - Через мгновение на экране должна появиться просто новая строка ввода. Это означает, что действие выполнено успешно и журнал защиты очищен.
Способ 4: Настройка локальной групповой политики
Настройка локальной групповой политики не позволит во мгновение очистить журнал защиты, однако она пригодится на будущее, поскольку позволяет задать таймер, по истечении которого журнал будет удален автоматически. Это очень хорошая настройка для тех пользователей, кто заинтересован в постоянном удалении записей стандартного антивируса в Windows 11. Однако стоит учитывать, что «Редактор локальной групповой политики» доступен исключительно в Windows 11 Pro и Enterprise.
- Откройте утилиту «Выполнить», используя для этого стандартное сочетание клавиш Win + R. Введите команду
gpedit.mscи нажмите Enter для ее активации. - Разверните раздел «Конфигурация компьютера», выберите каталог «Административные шаблоны» и «Компоненты Windows».
- Перейдите в директорию «Антивирусная программа Microsoft Defender» и выделите левой кнопкой мыши конечную папку с названием «Проверка».
- Теперь в блоке справа остается найти политику «Включить удаление элементов из папки журнала проверок». Щелкните по строке дважды левой кнопкой мыши.
- Установите значение для политики «Включено».
- Измените таймер удаление элементов из папки журнала, где число означает количество дней, спустя которое будет производиться автоматическая очистка. После применения изменений понадобится перезагрузка компьютера, чтобы они вступили в силу.
Способ 5: Удаление временных файлов
Файлы журнала защиты относятся ко временным, поэтому их удаление можно инициировать самостоятельно через встроенное средство очистки. Понадобится только зайти в меню управления памятью, задать соответствующие опции и запустить процесс удаления.
- Откройте «Пуск» и нажмите по значку с изображением шестеренки для перехода в «Параметры».
- На панели слева выберите раздел «Система» и откройте категорию «Память».
- Дождитесь завершения анализа хранилища, после чего нажмите левой кнопкой мыши по шкале «Временные файлы».
- Опуститесь по списку с выделенными типами временных файлов, найдите «Антивирусная программа Microsoft Defender» и обязательно выделите галочкой этот тип временных файлов.
- Далее нажмите «Удалить файлы» и дождитесь завершения очистки.
Просмотр текущего состояния журнала защиты
Завершим статью небольшой инструкцией о том, как проверить текущие записи в журнале защиты, чтобы вы могли оценить эффективность каждого из выполненных ранее методов. Для этого потребуется обратиться к системному разделу Windows 11, связанному со стандартным антивирусным средством.
- В «Параметрах» выберите раздел «Конфиденциальность и защита», затем перейдите в «Безопасность Windows».
- В блоке «Области защиты» кликните левой кнопкой мыши по «Защита от вирусов и угроз».
- Нажмите по синей ссылке «Журнал защиты».
- Теперь можете просмотреть, есть ли в журнале записи и от какой даты. Если они все еще сохраняются, попробуйте другой метод очистки, поскольку каждый из них имеет свою эффективность.
Наша группа в TelegramПолезные советы и помощь