Очистить журнал событий windows server — Ваш верный помощник с OS Windows

В Windows вы можете очистить журналы событий Event Viewer с помощью графической оснастки eventvwr.msc, из командной строки и с помощью PowerShell.

Содержание:

Очистка журнал событий из графической консоли Event Viewer
Удаление логов Windows из командной строки
Clear-EventLog: команда PowerShell для очистки журналов событий

Очистка журнал событий из графической консоли Event Viewer

Самый интуитивный способ очистки журналов событий Windows – воспользоваться графической консоль Event Viewer.

Запустите консоль
eventvwr.msc
;

Картинка с сайта: winitpro.ru
Щелкните правой кнопкой по журналу и выберите Clear Log;

Такой способ позволяет быстро удалить все события из одного конкретного журнала. Однако в Windows используется несколько сотен журналов для разных компонентов операционной системы и стороннего ПО.

По умолчанию Windows хранит журналы в файлах с расширением EVTX в каталоге
%SystemRoot%\System32\Winevt\Logs\
.

$Каталог System32\Winevt\Logs с EVTX логами WIndows$

Если вам нужно очистить их все – это будет утомительно вручную прощелкать все разделы Event Viewer и очистить каждый журнал. В этом случае для удаления событий лучше использовать PowerShell или командную строку.

Удаление логов Windows из командной строки

Для очистки журналов Windows из командной строки используется утилита wevtutil.exe.

Вывести список зарегистрированных в Windows журналов событий:

WevtUtil enum-logs

или короткий вариант:

WevtUtil el

Для удаления событий из одного конкретного журнала, скопируйте его имя и выполните команду:

WevtUtil cl Microsoft-Windows-GroupPolicy/Operational

Перед очисткой можно создать резервную копию событий в журнале в отдельный файл:

WevtUtil cl Microsoft-Windows-GroupPolicy/Operational /bu:GPOLOG_Bak.evtx

Можно очистить сразу все журналы событий из cmd.exe:

for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"

Для BAT файла нужно использовать немного другой синтаксис:

for /F "tokens=*" %%1 in ('wevtutil.exe el') DO wevtutil.exe cl "%%1"

Clear-EventLog: команда PowerShell для очистки журналов событий

В PowerShell для получения списка журналов событий Windows и их очистки можно использовать командлеты Get-WinEvent и Clear-EventLog.

Откройте консоль PowerShell с правами администратора, выведите список всех имен журналов в Windows и их настройки:

Get-WinEvent -ListLog *

get-winevent вывести список журналов event viewer в windows

Команда выведет максимальные размеры и параметры всех журналов событий Windows.

Чтобы удалить все события из двух журналов (например, журналов Security и System), выполните команду:

Clear-EventLog –LogName Security,System

При этом журнал очищается, и в него записывается событие с EventID 104 или 1102 с временем очистки, пользователем, выполнившим и описанием:

The System log file was cleared
The audit log was cleared.

Очистка журналов фиксируется событием EventId 104 с текстом «The System log file was cleared»

Для очистки административных и операционных журналов событий Windows, выполните такую однострочную команду PowerShell:

Get-WinEvent -ListLog * -Force | % { Wevtutil.exe cl $_.Logname }

Или:

wevtutil el | Foreach-Object {wevtutil cl "$_"}

Примечание. В нашем примере не удалось очистить 3 журнала из-за ошибки доступа. Попробуйте вручную очистить содержимое этих журналов из консоли Event Viewer.

Wevtutil полная очистка журналов событий Windows

Источник

Прочитано: 4 686

“Логи в системе Windows7/Windows Server 2008 R2 Std хранятся по адресу c:\windows\system32\winevt\logs\”

Сейчас я покажу, как их очистить с помощью командной строки (cmd.exe) с использованием wmic.

Заходим в систему (dc1.polygon.local) с правами Администратора (ekzorchik) и запускаем командную строку (cmd.exe) в Административном окружении.

(,так делается в Windows 7 && Windows Server 2008/R2)

Пример синтаксиса:

"Wmic nteventlog where filename=”<имя_журнала>” call ClearEventlog"

Предлагаю Вам ознакомиться с примерами очистки логов в системе:

Очищаем лог Application:

C:\Windows\system32>wmic nteventlog where filename="Application" call ClearEventlog

Executing (\\DC1\ROOT\CIMV2:Win32_NTEventlogFile.Name=”C:\\Windows\\System32\\Wi

nevt\\Logs\\Application.evtx”)->ClearEventlog()

Method execution successful.

Out Parameters:

instance of __PARAMETERS

{

ReturnValue = 0;

};

При очистке лога его размер будет соответствовать (68KB), см скриншот:

При очистке лога его размер будет соответствовать размеру 68KB.

Очищаем лог Security:

C:\Windows\system32>wmic nteventlog where filename="Security" call ClearEventlog

Executing (\\DC1\ROOT\CIMV2:Win32_NTEventlogFile.Name=”C:\\Windows\\System32\\Wi

nevt\\Logs\\Security.evtx”)->ClearEventlog()

Method execution successful.

Out Parameters:

instance of __PARAMETERS

{

ReturnValue = 0;

};

Очищаем лог System:

C:\Windows\system32>wmic nteventlog where filename="System" call ClearEventlog

Executing (\\DC1\ROOT\CIMV2:Win32_NTEventlogFile.Name=”C:\\Windows\\System32\\Wi

nevt\\Logs\\System.evtx”)->ClearEventlog()

Method execution successful.

Out Parameters:

instance of __PARAMETERS

{

ReturnValue = 0;

};

Очищаем лог Active Directory Web Services:

C:\Windows\system32>wmic nteventlog where filename="Active Directory Web Services" call ClearEventlog

Executing (\\DC1\ROOT\CIMV2:Win32_NTEventlogFile.Name=”C:\\Windows\\System32\\Wi

nevt\\Logs\\Active Directory Web Services.evtx”)->ClearEventlog()

Method execution successful.

Out Parameters:

instance of __PARAMETERS

{

ReturnValue = 0;

};

Очищаем лог DFS Replication:

C:\Windows\system32>wmic nteventlog where filename="DFS Replication" call ClearEventlog

Executing (\\DC1\ROOT\CIMV2:Win32_NTEventlogFile.Name=”C:\\Windows\\System32\\Wi

nevt\\Logs\\DFS Replication.evtx”)->ClearEventlog()

Method execution successful.

Out Parameters:

instance of __PARAMETERS

{

ReturnValue = 0;

};

Очищаем лог DFS Replication:

C:\Windows\system32>wmic nteventlog where filename="Directory Service" call ClearEventlog

Executing (\\DC1\ROOT\CIMV2:Win32_NTEventlogFile.Name=”C:\\Windows\\System32\\Wi

nevt\\Logs\\Directory Service.evtx”)->ClearEventlog()

Method execution successful.

Out Parameters:

instance of __PARAMETERS

{

ReturnValue = 0;

};

Очищаем лог DNS Server:

C:\Windows\system32>wmic nteventlog where filename="DNS Server" call ClearEventlog

Executing (\\DC1\ROOT\CIMV2:Win32_NTEventlogFile.Name=”C:\\Windows\\System32\\Wi

nevt\\Logs\\DNS Server.evtx”)->ClearEventlog()

Method execution successful.

Out Parameters:

instance of __PARAMETERS

{

ReturnValue = 0;

};

Вот собственно и всё, может, кому и пригодится. Удачи.

Источник

Windows

November 30, 2013November 30, 2013

1 Minute

If you want to clear the event logs in a Windows Server system, you can fire up Event Viewer, browse to the desired log and from the Actions menu select Clear Log….
But if you want to clear all the System and Application logs at once, you’d better use the ‘wevtutil’ command-line utility Microsoft offers. A Windows PowerShell command like this will do the job.

Run PowerShell as Administrator and enter the below cmd.

wevtutil el | foreach { wevtutil cl $_ }

Published
November 30, 2013November 30, 2013

Источник

Repository files navigation

Clear Event Logs

This is a simple batch script that clears all Windows Event Logs. It uses the wevtutil command-line tool to clear each log.

Prerequisites

To run this script, you need to have administrative privileges on your computer. If you do not have administrative privileges, the script will display an error message and exit.

How to Use

Download the file Clear_Event_Viewer_Logs.bat
Run it as Administrator.

Notes

The script saves the output of the bcdedit and wevtutil commands to temporary files in the same directory as the script. These files are deleted after the script completes.
The script has been tested on Windows 10, but should work on other versions of Windows as well.

About

This is a simple batch script that clears all Windows Event Logs. It uses the wevtutil command-line tool to clear each log.

Topics

Resources

Readme

Activity

Stars

1
star

Watchers

2
watching

Forks

1
fork

Источник

Всем привет!

Очистка следов работы в операционной системе — один из важнейших этапов для скрытия каких либо действий.

Во время расследования криминалисты проверяют следы активности на компьютерах для выявления каких либо действий. Это один из примеров, почему вам стоит научиться работать с логами и понять как это работает.

ВНИМАНИЕ!

Автор статьи никого не призывает к правонарушениям и отказывается нести ответственность за ваши действия. Вся информация предоставлена исключительно в ознакомительных целях. Спасибо!

Для начала разберёмся с некоторыми типами журналов и их расположением для примера.

Журналы DHCP-сервера — это журналы, в которых ведется учет присвоения IP-адресов в сети. В этом журнале хранятся все события при взаимодействии между потенциальным DHCP-клиентом и DHCP-сервером. Наибольший интерес здесь представляют MAC-адреса клиентов, которые будут занесены в соответствующий журнал событий.

Журналы DHCP хранятся в каталоге % SystemRoot% \ System32 \ dhcp

Журналы веб-сервера хранят сообщения обо всех действиях при взаимодействии между веб-сервером и клиентским веб-браузером.

Файлы журнала Internet Information Server (IIS) находятся в

% SystemDrive% \ inetpub \ logs \ LogFiles

Event logs фиксируют все, что происходит в системе, с момента ее включения и до выключения. В Windows 10 конфигурация журналов событий хранится в следующем разделе реестра:

HKLM \ System \ ControlSet00x \ Services \ EventLog

Чтобы просмотреть список имён доступных журналов событий в Windows 10, используйте команду

wevtutil el

Использование команды wevtutil gl <имя журнала> представит информацию о конфигурации для выбранного журнала:

Стоит отметить, что сами системные журналы Windows хранятся по пути C:\Windows\System32\winevt \Logs в локальной системе:

В Windows средство просмотра событий является приложением, которое объединяет журналы приложений, безопасности, установки и системы на единой информационной панели. Это приложение располагается в следующем каталоге:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Просмотрщик событий

Также для открытия средства просмотра событий в Windows достаточно ввести сочетание клавиш Win + R , и в окне «Выполнить» ввести eventvwr.msc и нажать OK:

В окне «Просмотр событий» журналы можно очистить, просто выбрав функцию «Очистить журнал» кнопкой на панели «Действия». Чтобы очистить журналы для определенной категории, например всех журналов, которые находятся в группе «Приложение», просто щелкните правой кнопкой мыши имя группы и выберите «Очистить журнал»:

Также можно очистить журналы с помощью консоли:

for / F «tokens = *»% 1 в (‘wevtutil.exe el’) DO wevtutil.exe cl «% 1»

Либо мы можем воспользоваться Powershell.

Для этого вводим следующую команду:

wevtutil el | Foreach-Object {wevtutil cl “$_”}

После выполнения команды журналы стираются, как показано в средстве просмотра событий:

Meterpreter разработан, чтобы быть скрытым, мощным и динамически расширяемым. После успешного закрепления в системы вы можете использовать команду clearev для очистки журналов приложений, системы и безопасности:

clearev

Meterpreter очищает журналы каждой категории в целевой системе. Также указано количество очищенных записей.

В этой статье мы рассмотрели способы скрытия активности во время тестирования на проникновение, а также обычного использования системы.

На этом мы заканчиваем. Спасибо за внимание.

Следите за мной в соц-сетях:

• Tik-Tok: aferium

• Группа ВК: aferium_vk

• Телеграм: aferium

• Яндекс Дзен: aferium

• VC.RU: aferium

• Teletype: aferium

Источник