В процессе работы Windows постоянно ведёт запись различных системных событий в файлы журналов, которые можно просмотреть с помощью утилиты «Просмотр событий». Сами по себе журналы не занимают много места на диске, но общее количество операций записи на продолжительном отрезке времени значительно и потенциально может влиять на общий ресурс дисков, особенно SSD. При желании, запись событий в журнал можно отключить.
В этой инструкции подробно о способах отключить журнал событий полностью или частично для отдельных событий, очистить его и дополнительная информация, которая может быть полезной.
Отключение службы «Журнал событий Windows»
Самый очевидный и простой способ отключить журнал событий — отключение соответствующей службы, однако у этого способа есть минусы:
- От указанной службы зависят и другие службы, в частности могут возникнуть проблемы с работой планировщика заданий, службами сведений о подключенных сетях, списка сетей и автоматической настройки сетевых устройств.
- Полное отключение журнала событий может быть не лучшим вариантом: собираемые в журналах сведения о сбоях могут быть полезными для диагностики проблем с работой системы.
Список зависимостей службы отличается в разных версиях Windows: в Windows 11 проблем после отключения службы «Журнал событий» вы вероятнее всего не заметите, а в Windows 10 они могут быть.
Для того, чтобы отключить службу «Журнал событий Windows» (чего я не рекомендую) вы можете использовать оснастку «Службы»:
- Нажмите клавиши Win+R на клавиатуре, введите services.msc и нажмите Enter.
- В списке служб найдите «Журнал событий Windows» и дважды нажмите по этой службе.
- Нажмите кнопку «Остановить», измените тип запуска на «Отключена» и нажмите «Ок».
Ещё один способ — запустить командную строку от имени администратора и по порядку использовать следующие команды:
net stop eventlog sc config eventlog start= disabled
Это полностью отключит ведение журнала событий, но, при возникновении проблем с работой других системных служб не забудьте, что, возможно, они были вызваны описанными действиями.
Отключение записи отдельных событий или выбранных журналов
Вместо отключения журнала событий полностью, вы можете отключить запись лишь отдельных событий — тех, которые записываются чаще всего, при этом не несут полезной информации для большинства пользователей.
Прежде всего — это события «Аудит успеха» в журнале «Безопасность». Для отключения записи этих событий в командной строке от имени администратора используйте одну из следующих команд (первая — для русскоязычной версии Windows, вторая — для англоязычной или переведенной на русский язык путем установки языкового пакета):
auditpol /set /subcategory:"Подключение платформы фильтрации" /success:disable /failure:enable auditpol /set /subcategory:"Filtering Platform Connection" /success:disable /failure:enable
Указанные команды отключат запись событий типа «Успех», но оставят запись событий «Отказ». Аналогичным образом возможно отключение событий других подкатегорий, полный список подкатегорий можно получить с помощью команды auditpol /list /subcategory:*
Следующая возможность — отключение записи определенных событий по их GUID, шаги будут следующими (пример для журнала «Система»):
- В просмотре событий (Win+R — eventvwr.msc) найдите событие, запись которых нужно отключить, на вкладке «Подробности» включите режим XML, здесь нам потребуется значение параметра GUID.
- В редакторе реестра (Win+R — regedit) перейдите к разделу
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System
- В этом разделе выберите подраздел с именем, совпадающим с GUID из первого шага, дважды нажмите по параметру с именем Enabled и установите значение 0 для него, повторите то же самое для параметра EnableProperty
- Закройте редактор реестра и перезагрузите компьютер.
И ещё один метод для журналов приложений, на примере журнала WFP (который у многих пользователей постоянно пишется с большой интенсивностью):
- В Просмотре событий откройте «Журналы приложений» и перейдите к нужному журналу, например: Microsoft — Windows — WFP — Operational
- Нажмите правой кнопкой мыши по журналу и выберите пункт «Отключить журнал».
Отдельно по журналу wfpdiag.etl: ещё одна возможность отключения — команда
netsh wfp set options netevents = off
Очистка журнала событий
Файлы журналов событий располагаются в папках
C:\Windows\System32\winevt\Logs C:\Windows\System32\LogFiles
И некоторых других расположениях, например — C:\ProgramData\Microsoft\Windows\wfp\
Очистка вручную путем удаления файлов нежелательна и не всегда удобна. Вы можете:
- Использовать опцию «Очистить журнал» для соответствующего журнала в «Просмотре событий» в контекстном меню журнала или его свойствах.
- Использовать одну из команд (первая — для командной строки, вторая — для PowerShell, в обоих случаях требуется запуск от имени администратора):
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1" Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }
Если остаются вопросы по журналам событий в Windows, задавайте их в комментариях — не исключено что я или кто-то из читателей сможет подсказать.
Key Takeaways
- Clearing activity history is essential to protecting your privacy on Windows 11.
- The File Explorer and Search History are some top places to look for activity history on the operating system.
Method 1: Clear Activity History for Your Account
Microsoft collects your activity history to improve the cross-device experience and provide relevant suggestions. It does so by tracking the apps, files you open, and websites you visit. This data is stored on your computer and cloud, so you can delete it from both places.
Here’s how to delete your account activity history.
Step 1: Press the Windows key + I to launch the Settings app. Then, click the Privacy & security tab > Activity History.
Step 2: Click the Clear history button to remove your activity history from your devices.
Step 3: You can optionally prevent Windows from storing your account’s activity history by turning off the Activity History option.
Method 2: Clear File Explorer History
File Explorer on Windows records all your searches to quickly remind you of your previous queries. As useful as this is, you might want to clear the File Explorer search history occasionally. Thankfully, it’s simple to do so.
Step 1: Press the Windows key + E to launch File Explorer.
Step 2: Click the three-dot menu icon at the top and select Options from the list.
Step 3: In the Folder Options window, click the Clear button next to Clear File Explorer history.
Alternatively, you can also remove specific search terms from File Explorer. To do so, click on the search box in File Explorer to view recent search terms. Then, click on the cross mark to remove the search term.
Method 3: Clear Search History
Windows 11 also logs all your searches through the search bar to improve suggestions. But if you wish to clear your past searches and start afresh, here’s how you do it.
Step 1: Open the Start menu and click the gear-shaped icon to launch the Settings app.
Step 2: In the Privacy & security tab, scroll down to click on Search permissions.
Step 3: Under History, click on Clear device search history.
You can also clear individual search queries from Windows Search. For that, press the Windows key + S to open the Windows Search, then move the cursor over the search query you wish to delete and click on the cross icon at the end of the search query.
Method 4: Delete Location History
Apps on Windows rely on your location data to provide personalized recommendations and other useful services. For instance, widgets on Windows use your location data to provide local news and weather reports. Although this data is only stored for a limited period, you can delete it anytime by following the steps below.
Step 1: Right-click the Start menu and select Settings from the list.
Step 2: Navigate to the Privacy & security tab on your left. Then, scroll down to App permissions and click on Location.
Step 3: Lastly, hit the Clear button next to Location history.
Further, you can also prevent apps from using your location data by toggling off Let apps access your location.
Method 5: Remove Update History
Windows 11 regularly receives software updates from Microsoft. It tracks the entire update history for your reference. But if you don’t find it useful, you may want to delete it altogether.
Step 1: Click on the search icon on the Taskbar, type cmd, and click on Run as administrator to open Command Prompt with admin rights.
Step 2: Type the following command and press Enter to stop the Windows update service.
net stop wuauserv
Step 3: Next, run the following command to delete the log file containing the update history.
del C:\Windows\SoftwareDistribution\DataStore\Logs\edb.log
Step 4: Lastly, run the following command to start the Windows update service again.
net start wuauserv
All the Windows update history will be removed.
Was this helpful?
Thanks for your feedback!
The article above may contain affiliate links which help support Guiding Tech. The content remains unbiased and authentic and will never affect our editorial integrity.
Все способы:
- Способ 1: Ручное удаление файлов истории
- Способ 2: Очистка журнала событий
- Способ 3: Использование консольной утилиты
- Способ 4: Настройка локальной групповой политики
- Способ 5: Удаление временных файлов
- Просмотр текущего состояния журнала защиты
- Вопросы и ответы: 3
Способ 1: Ручное удаление файлов истории
Самый надежный метод очистки журнала защиты в Windows 11 — ручное удаление файлов истории. Для этого понадобится сначала показать скрытые файлы и папки, затем перейти по нужному расположению и выполнить удаление. Весь процесс не займет много времени, а его принцип показан в следующей инструкции.
- Как вы уже знаете из предыдущего абзаца, сначала понадобится настроить отображение скрытых файлов. Осуществляется это через окно «Параметры папок», о чем можете прочитать в другой статье на нашем сайте, перейдя по следующей ссылке.
Подробнее: Отображение скрытых файлов и папок в ОС Windows 11
- Следующее необходимое действие — переход по пути расположения файлов журнала защиты. Откройте «Проводник» и самостоятельно перейдите в
C:\ProgramData\Microsoft\Windows Defender\Scans\History, чтобы попасть в конечный каталог. - В папке вам необходимо отыскать директорию с названием «Service».
- Щелкните по ней правой кнопкой мыши и из появившегося контекстного меню выберите действие «Удалить», кликнув по значку с изображением корзины. Подтвердите очистку файлов и, желательно, перезагрузите компьютер, чтобы затем перейти и посмотреть, был ли удален журнал защиты.
Способ 2: Очистка журнала событий
Каждое действие, выполненное стандартной антивирусной защитой в Windows 11, записывается в журнал, чтобы пользователь всегда знал, что изменилось в операционной системе. Записи из этого журнала загружаются и в окно с историей защиты, поэтому удаление приведет к очистке списка. Вам понадобится лишь найти соответствующий журнал, чтобы выполнить требуемое действие.
- Для этого откройте «Пуск», отыщите приложение «Просмотр событий» и запустите его.
- Откройте каталог «Журналы приложений и служб», далее разверните «Microsoft» и выберите директорию «Windows».
- В ней найдите папку «Windows Defender» и тоже откройте ее для просмотра существующих файлов.
- Левой кнопкой мыши выделите файл с названием «Operational», чтобы на панели справа появился список действий. Щелкните по «Очистить журнал…».
- В появившемся предупреждении вы можете выбрать вариант с сохранением содержимого в виде файла или нажать «Очистить», чтобы сразу запустить удаление.
- Спустя секунду посмотрите на количество записей в «Operational». Если теперь этот журнал пустой, значит, очистка выполнена успешно.
Способ 3: Использование консольной утилиты
Еще один доступный метод, позволяющий удалить журнал защиты в Windows 11, подразумевает использование консольной команды, которая по запросу очистит все связанные файлы. От вас требуется только запустить само действие, после чего все остальные шаги выполнятся в автоматическом режиме.
- Щелкните правой кнопкой мыши по «Пуску» и из появившегося меню выберите пункт «Терминал Windows (Администратор)».
- Введите команду
Set-MpPreference -ScanPurgeItemsAfterDelay 1и нажмите Enter для ее применения. Вместо «1» можете указать любое число, поскольку это определяет задержку, с которой будет выполнена команда в секундах. - Через мгновение на экране должна появиться просто новая строка ввода. Это означает, что действие выполнено успешно и журнал защиты очищен.
Способ 4: Настройка локальной групповой политики
Настройка локальной групповой политики не позволит во мгновение очистить журнал защиты, однако она пригодится на будущее, поскольку позволяет задать таймер, по истечении которого журнал будет удален автоматически. Это очень хорошая настройка для тех пользователей, кто заинтересован в постоянном удалении записей стандартного антивируса в Windows 11. Однако стоит учитывать, что «Редактор локальной групповой политики» доступен исключительно в Windows 11 Pro и Enterprise.
- Откройте утилиту «Выполнить», используя для этого стандартное сочетание клавиш Win + R. Введите команду
gpedit.mscи нажмите Enter для ее активации. - Разверните раздел «Конфигурация компьютера», выберите каталог «Административные шаблоны» и «Компоненты Windows».
- Перейдите в директорию «Антивирусная программа Microsoft Defender» и выделите левой кнопкой мыши конечную папку с названием «Проверка».
- Теперь в блоке справа остается найти политику «Включить удаление элементов из папки журнала проверок». Щелкните по строке дважды левой кнопкой мыши.
- Установите значение для политики «Включено».
- Измените таймер удаление элементов из папки журнала, где число означает количество дней, спустя которое будет производиться автоматическая очистка. После применения изменений понадобится перезагрузка компьютера, чтобы они вступили в силу.
Способ 5: Удаление временных файлов
Файлы журнала защиты относятся ко временным, поэтому их удаление можно инициировать самостоятельно через встроенное средство очистки. Понадобится только зайти в меню управления памятью, задать соответствующие опции и запустить процесс удаления.
- Откройте «Пуск» и нажмите по значку с изображением шестеренки для перехода в «Параметры».
- На панели слева выберите раздел «Система» и откройте категорию «Память».
- Дождитесь завершения анализа хранилища, после чего нажмите левой кнопкой мыши по шкале «Временные файлы».
- Опуститесь по списку с выделенными типами временных файлов, найдите «Антивирусная программа Microsoft Defender» и обязательно выделите галочкой этот тип временных файлов.
- Далее нажмите «Удалить файлы» и дождитесь завершения очистки.
Просмотр текущего состояния журнала защиты
Завершим статью небольшой инструкцией о том, как проверить текущие записи в журнале защиты, чтобы вы могли оценить эффективность каждого из выполненных ранее методов. Для этого потребуется обратиться к системному разделу Windows 11, связанному со стандартным антивирусным средством.
- В «Параметрах» выберите раздел «Конфиденциальность и защита», затем перейдите в «Безопасность Windows».
- В блоке «Области защиты» кликните левой кнопкой мыши по «Защита от вирусов и угроз».
- Нажмите по синей ссылке «Журнал защиты».
- Теперь можете просмотреть, есть ли в журнале записи и от какой даты. Если они все еще сохраняются, попробуйте другой метод очистки, поскольку каждый из них имеет свою эффективность.
Наша группа в TelegramПолезные советы и помощь
В Windows вы можете очистить журналы событий Event Viewer с помощью графической оснастки eventvwr.msc, из командной строки и с помощью PowerShell.
Содержание:
- Очистка журнал событий из графической консоли Event Viewer
- Удаление логов Windows из командной строки
- Clear-EventLog: команда PowerShell для очистки журналов событий
Очистка журнал событий из графической консоли Event Viewer
Самый интуитивный способ очистки журналов событий Windows – воспользоваться графической консоль Event Viewer.
- Запустите консоль
eventvwr.msc
;
- Щелкните правой кнопкой по журналу и выберите Clear Log;
Такой способ позволяет быстро удалить все события из одного конкретного журнала. Однако в Windows используется несколько сотен журналов для разных компонентов операционной системы и стороннего ПО.
По умолчанию Windows хранит журналы в файлах с расширением EVTX в каталоге
%SystemRoot%\System32\Winevt\Logs\
.
Если вам нужно очистить их все – это будет утомительно вручную прощелкать все разделы Event Viewer и очистить каждый журнал. В этом случае для удаления событий лучше использовать PowerShell или командную строку.
Удаление логов Windows из командной строки
Для очистки журналов Windows из командной строки используется утилита wevtutil.exe.
Вывести список зарегистрированных в Windows журналов событий:
WevtUtil enum-logs
или короткий вариант:
WevtUtil el
Для удаления событий из одного конкретного журнала, скопируйте его имя и выполните команду:
WevtUtil cl Microsoft-Windows-GroupPolicy/Operational
Перед очисткой можно создать резервную копию событий в журнале в отдельный файл:
WevtUtil cl Microsoft-Windows-GroupPolicy/Operational /bu:GPOLOG_Bak.evtx
Можно очистить сразу все журналы событий из cmd.exe:
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
Для BAT файла нужно использовать немного другой синтаксис:
for /F "tokens=*" %%1 in ('wevtutil.exe el') DO wevtutil.exe cl "%%1"
Clear-EventLog: команда PowerShell для очистки журналов событий
В PowerShell для получения списка журналов событий Windows и их очистки можно использовать командлеты Get-WinEvent и Clear-EventLog.
Откройте консоль PowerShell с правами администратора, выведите список всех имен журналов в Windows и их настройки:
Get-WinEvent -ListLog *
Команда выведет максимальные размеры и параметры всех журналов событий Windows.
Чтобы удалить все события из двух журналов (например, журналов Security и System), выполните команду:
Clear-EventLog –LogName Security,System
При этом журнал очищается, и в него записывается событие с EventID 104 или 1102 с временем очистки, пользователем, выполнившим и описанием:
The System log file was cleared The audit log was cleared.
Для очистки административных и операционных журналов событий Windows, выполните такую однострочную команду PowerShell:
Get-WinEvent -ListLog * -Force | % { Wevtutil.exe cl $_.Logname }
Или:
wevtutil el | Foreach-Object {wevtutil cl "$_"}
Примечание. В нашем примере не удалось очистить 3 журнала из-за ошибки доступа. Попробуйте вручную очистить содержимое этих журналов из консоли Event Viewer.
Microsoft has a way to keep tabs on its users – by monitoring the activities that you perform on your devices. Windows 11 (as well as Windows 10) stores your data locally on the host computer (in case of a local account), or it is synced with your Microsoft account online if you have a Microsoft account linked to your OS for a better cross-device experience.
This feature is enabled by default and not many users are aware of it. For those who want to clear out their data, or simply check whether anyone has been using their PC behind their backs, this is the article for you. It discusses how you can check the recent activity history on your Windows 11 device and how you can enable or disable it.
Table of Contents
If you read Microsoft’s Activity History privacy statement, you will find that the “Activity History” feature in Windows 11 keeps track of almost everything that you do on your computer.
Activity history helps keep track of the things you do on your device, such as the apps and services you use, the files you open, and the websites you browse. Your activity history is created when using different apps and features such as Microsoft Edge Legacy, some Microsoft Store apps, and Microsoft 365 apps.
Microsoft
It further goes on to say that the information is used to gain a better cross-platform experience so users can continue what they were doing while switching between synchronized devices. However, not everyone would like Microsoft to use their data and would like to enhance their privacy so that no one has access to it.
The learnings of this blog are three-fold:
- How to enable/disable Activity History.
- How to clear Activity History.
- How to check if someone has been using your computer.
Enable or Disable Activity History in Windows 11
Whether you are using a local or a Microsoft account as your user account, you can choose whether you would like Windows to log your activity data or not by enabling or disabling the feature. Here is how to do it:
Learn how to convert a local account to a Microsoft account and vice versa.
- Navigate to the following:
Settings app >> Privacy & Security >> Activity History - Now uncheck the boxes next to “Store my activity history on this device” and “Send my activity history to Microsoft” to disable the Activity History feature in Windows 11. Or you can check with them to enable the feature.
Checking the boxes will enable the feature. Activity History can be enabled or disabled at any given time. However, we would suggest that you disable the feature if you want to increase your privacy.
Clear Activity History in Windows 11
Even if you have disabled the Activity History feature in Windows 11, it will still store the data that has already been logged. Any stored data will then need to be manually removed if required.
Note that only the Activity History on the local device will be cleared if you are using a local user account. If you are using a Microsoft account, Activity History across all devices synced with that account will be deleted.
Note: Once deleted, the Activity History data cannot be recovered.
Here’s how to clear your Activity History from Windows 11:
- Navigate to the following:
Settings app >> Privacy & Security >> Activity History - Scroll down and click Clear below Clear activity history.
- On the confirmation popup, click Ok.
Any data collected through Activity History will now be removed permanently.
2 Ways to Check Recent Activity on Windows 11
This porting of the blog covers how you can check whether someone has been using your device without you knowing about it. There are 2 methods you can use: Through Windows Event viewer and the recently accessed documents.
Check Recent Activity through Event Viewer
Event viewer logs information about your system, which includes open apps, security protocols, application behavior, and much more. This can tell you more about what has been done on your device in the recent past.
To check the event logs through the event viewer on Windows 11, follow these steps:
- Launch the Event Viewer by typing in eventvwr.msc in Run.
- From the left tab, expand Windows logs and then click on any of the below categories of logs to explore them.
- You can now double-click on the events in the middle pane to explore them.
This way you can check if any activity has been performed on your device. You can also clear these logs by clicking on the Clear log in on the right pane, and then clicking Clear in the confirmation dialog box.
Check Recent Activity through Recent Items
Another quick way to check if your system has been in use is to check the recent items folder, which tells you what has been accessed as of recently, in descending order.
Open up the Recents folder by typing in shell:recent in Run and hit Enter.
You can now tell by the item and their time of access whether your device was in use by someone else or not.
Manage Microsoft Account Privacy
If disabling and clearing your Activity History has not given you any peace, you can move a step further by controlling your Microsoft account’s privacy and micromanaging it.
Head to Microsoft’s Privacy Management page, log in with your Microsoft account and start managing your policies.
Closing words
The 21st century revolves around data accumulation. Every tech company wants to invest in data and then analyze it to target their marketing strategies and much more.
Microsoft says that the Activity History feature collects data as feedback to provide a better user experience. However, not everyone is comfortable sharing their routines and data with Microsoft. If you are one of those users, you can disable the feature entirely and make sure that it is not being collected again.
Once done, we would also suggest that you take a thorough look at your Microsoft account’s privacy and take full control of where you think is required.