Applies ToPrivacy Windows 11 Windows 10 Панель мониторинга учетной записи Майкрософт
Журнал действий помогает отслеживать ваши действия на устройстве, например приложения и службы, которые вы используете, а также просматриваемые веб-сайты. Журнал действий хранится локально на вашем устройстве.
Вы можете управлять параметрами журнала действий, чтобы выбрать, что хранить.
Функции, использующие журнал действий
Журнал действий используется в следующих функциях Windows. Вернитесь на эту страницу после выпусков и обновлений Windows, чтобы узнать о новых службах и функциях, использующих журнал действий.
-
Временная шкала. Просмотрите временная шкала действий и укажите, следует ли возобновлять эти действия с устройства. Например, предположим, что вы редактируете документ Word на устройстве, но не можете завершить работу до того, как придется прекратить работу в течение дня. Если вы включите параметр Сохранить журнал действий на этом устройстве на странице параметров журнала действий, вы увидите, что Word действия в временная шкала на следующий день( и в течение следующих нескольких дней) и после этого вы сможете возобновить работу с ним.
-
Microsoft Edge. При использовании устаревшая версия Microsoft Edge журнал браузера будет включен в журнал действий. Журнал действий не будет сохранен при просмотре в окнах InPrivate.
Параметры учетной записи Майкрософт не позволяют отправлять журнал действий в корпорацию Майкрософт, но журнал действий будет храниться на вашем устройстве, чтобы отслеживать действия, которые вы делаете.
Журнал действий для нескольких учетных записей
Для нескольких учетных записей журнал действий собирается и сохраняется локально для каждой локальной учетной записи, учетной записи Майкрософт или рабочей или учебной учетной записи, связанной с устройством, в разделе Параметры > учетные записи > Email & учетных записей. Эти учетные записи также можно просмотреть в Windows 10 в разделе Параметры > журнал действий > конфиденциальности, а в Windows 11 разделе Параметры > конфиденциальность & журнал действий> безопасности, где можно отфильтровать действия из определенных учетных записей, отображаемых в временная шкала. При скрытии учетной записи данные на устройстве не удаляются.
Управление параметрами журнала действий
Журнал действий можно настроить. В любой момент можно остановить сохранение журнала действий.
Остановите локальное сохранение журнала действий на устройстве
-
Нажмите кнопку Пуск , а затем выберите Параметры > Конфиденциальность & безопасность > журнал действий.
-
Переключите параметр Сохранить журнал действий на этом устройстве в положение Выкл.
Открытие параметров журнала действий
Примечание: Возможность отправки журнала действий в Корпорацию Майкрософт устарела с Windows 11 23H2 и 22H2, 23 января 2024 г. KB5034204 обновление. Предыдущие версии Windows 11 до этого обновления по-прежнему будут иметь параметр, доступный на странице журнала действий. Если этот параметр включен, данные журнала действий по-прежнему будут отправляться в корпорацию Майкрософт. Этот параметр можно отключить или обновить до последней версии Windows, чтобы получить последние обновления.
Вы можете очистить и удалить журнал действий, хранящийся на устройстве.
Очистка журнала действий
-
Нажмите кнопку Пуск , а затем выберите Параметры > Конфиденциальность & безопасность > журнал действий.
-
Рядом с пунктом Очистить журнал действий для этой учетной записи выберите Очистить журнал.
Примечание: Если у вас есть предыдущий журнал действий, хранящийся в облаке до Windows 11 23H2 и 22H2, 23 января 2024 г. KB5034204 обновления, вы можете удалить ранее сохраненные данные в облаке с помощью кнопки Очистить журнал действий. В противном случае журнал действий будет автоматически удален в течение 30 дней с момента последней синхронизации данных с облаком.
Нужна дополнительная помощь?
Нужны дополнительные параметры?
Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.
Windows 10 записывает вашу активность, даже при отключении этой функции
Последние версии Windows 10 поддерживает функцию под названием «Журнал действий» (Параметры > Конфиденциальность > Журнал действий), которая занимается отслеживанием пользовательской активности на устройстве с целью последующего возвращения к ним.
Журнал действий лежит в основе работы функции «Временная шкала». Временная шкала вызывается сочетанием Windows + Tab и дает общее представление о выполненных активностях по отдельным временным отрезкам.
Временная шкала поддерживается лишь некоторыми приложениями, в частности браузером Microsoft Edge и программами Microsoft Office. Основная идея данной функции – аналог истории просмотров в браузере, только для всей операционной системы.
Пользователь может с легкостью перейти к определенному приложению, чтобы продолжить работу над конкретным документом или запустить просмотренный ранее сайт в браузере.
В приложении «Параметры» пользователя доступно три основные опции «Журнала действий»:
Первый параметр отвечает за сохранение активности на локальной машине, а второй – за отправку полученных данных в Microsoft.
Даже если вы отключите все три опции в приложении «Параметры», данные активности все равно будут выводиться на информационной панели конфиденциальности на сайте account.microsoft.com.
Данное поведение было обнаружено одним из пользователей Reddit, который поделился своим наблюдением. Вход в систему был выполнен с помощью локальной учетной записи, а аккаунт Microsoft использовался только в магазине приложений.
Несмотря на все три отключенные опции, журнал действий показывался на информационной панели конфиденциальности для соответствующего аккаунта Microsoft.
При попытке воспроизведения данного поведения порталом Ghacks, опасения подтвердились. Действительно, несмотря на то, что опции журнала действий были отключены, история активности сохранялась в Информационная панель конфиденциальности. История действий была доступна в разделе Журнал действий.
Более того, отключение журнала действий с помощью групповых политик тоже никак не влияет на сбор и отображение информации в онлайн панели:
После выполнения данных шагов, никаких изменений поведения не произошло.
Нужно признать, что утечка данных активности пользователя, когда соответствующие функции отключены, является действительно очень серьезной проблемой.
Источник
Три способа очистить журнал событий в Windows 10
П ри анализе неполадок в работе Windows администраторами нередко используются сведения из системного журнала, в который автоматически записываются все более или менее важные события. Журнал Windows хранит много полезных сведений, тем не менее, у вас может возникнуть необходимость его очистить. Сделать это можно несколькими способами. Удаление записей журнала вручную используется чаще всего, так как позволяет очищать конкретные разделы.
Ручная очистка
Здесь всё предельно просто. Откройте через меню Пуск оснастку событий, разверните журнал и, кликнув правой кнопкой на нужный раздел, выберите в меню опцию «Очистить журнал…».
Данные будут удалены.
С помощью командной строки
Для быстрой очистки всех разделов сразу можно использовать командную строку. Запустите консоль от имени администратора и выполните в ней такую команду:
После нажатия Enter вы увидите, как удаляются записи.
Эта команда очищает журнал полностью, впрочем, с помощью командной строки можно также можно очистить конкретный журнал.
Сначала командой wevtutil el|more выведите список доступных журналов.
Выберите нужный и очистите его, выполнив команду следующего вида:
NameLog в данном случае — имя очищаемого журнала.
Его нужно будет заменить реальным именем, взятым из полученного ранее списка.
С помощью PowerShell
За исключением пары-тройки записей, к которым вы не имеете прямого доступа, всё содержимое журнала Windows будет полностью удалено.
2 комментария
Привет! команда для cmd отлично работает вручную, но если запихнуть в батник то не работает, пишет «непредвиденное появление in» 🙁
Ох, поспешил 🙂 Нашёл ответ, в батниках нужно двойной процент писать.
Источник
Очистка журнала действий windows 10 к чему приведет
«Слежка», «телеметрия», «зонды», сколько споров на просторах интернета произошло по этому поводу за последние 4 года, не сосчитать.
Шквал критики от возмущенных пользователей и экспертов периодически достигает ушей Microsoft и иногда она идет на уступки, например, добавляя кнопочку для просмотра сведений собранных у пользователя.
Но сейчас эмоции по этому вопросу уже не так накалены, пользователи привыкли да и выбора особо нет ̶п̶о̶к̶а̶ ̶е̶щ̶е̶ ̶е̶с̶т̶ь̶, в лицензионном соглашении обладатель лучшей из Windows дает разрешение на сбор практически любой информации со своего ПК.
В журнале действий есть аж целых 3 опции, позволяющие отключать запись действий пользователя, но пользователи Reddit и портала Ghacks обратили внимание, что данные опции ничего не отключают. Запись действий продолжает вестись и отображаться в «Информационной панели конфиденциальности» на сайте Microsoft.
Первым этот вопиющий факт заметил пользователь с Reddit. Он вошел в систему с помощью локальной учетной записи, а аккаунт Microsoft использовал только в магазине приложений. И отключив все три опции в приложении «Параметры», он увидел, что запись действий на информационной панели конфиденциальности на сайте account.microsoft.com не прекратилась.
Пользователи с портала Ghacks воспроизвели ситуацию и опасения подтвердились. Запись действий не выключается. История активности сохранялась в информационной панели конфиденциальности.
Нужно признать, что утечка данных активности пользователя, когда соответствующие функции отключены, является очень серьезной проблемой.
Даже на простейшем, бытовом уровне, когда к устройству имеет доступ не только его основной владелец, беспокоится теперь стоит не только об истории браузера и файлах «не для чужих глаз», но и о постоянно включенной временной шкале.
Так что, если ваши родители технически подкованы, а вы играете на лучшей из Windows в Minecraft, вместо того что бы делать уроки, не забывайте, что бдительная временная шкала не отключается и все помнит.
Источник
Windows активности и конфиденциальности
Журнал действий помогает отслеживать ваши действия на устройстве, например приложения и службы, которые вы используете, а также просматриваемые веб-сайты. История ваших действий хранится локально на вашем устройстве, а если вы вписали на устройство с помощью своей учебной или учебной учетной записи и предоставили ваше разрешение, Windows отправит историю действий в корпорацию Майкрософт. Корпорация Майкрософт использует журнал действий, чтобы персонализировать взаимодействие (например, упорядочивать действия на основе продолжительности использования) и рекомендации (например, прогнозируя ваши потребности на основе журнала действий).
Следующие функции Windows используют ваш история действий. Возвращайтесь на эту страницу за новостями о будущих выпусках и обновлениях для Windows, чтобы узнать, какие дополнительные службы и компоненты используют журнал действий:
Временная шкала. Вы можете просматривать временную шкалу действий и возобновлять эти действия на вашем устройстве. Например, предположим, что вы редактировали документ Word на устройстве, но не завершили работу, когда вам потребовалось покинуть офис. Если на странице параметров истории действий вы выбрали параметр Хранить мой история действий на этом устройстве, вы увидите, что действия Word на вашей временной шкале на следующий день, а затем в течение следующих нескольких дней, после чего вы сможете продолжить работу над ней. Если вы вошел на устройство с помощью рабочей или учебной учетной записи и выбрали поле Отправить историю действий в Корпорацию Майкрософт и вам не удалось завершить работу до того, как вам пришлось покинуть офис в течение дня, вы можете продолжить работу с ним позже с другого устройства.
Microsoft Edge. При использовании устаревшая версия Microsoft Edge браузера ваш история браузера будет включена в ваш список действий. При просмотре в окнах InPrivate история действий не будет сохранена.
Если вы въехали на устройство с помощью своей учебной или учебной учетной записи и включили параметр для отправки Корпорации Майкрософт истории действий, Корпорация Майкрософт использует ваши данные из истории действий для поддержки использования различных устройств. Поэтому даже при переходе на другое устройство вы будете видеть уведомления о ваших действиях и сможете возобновить их. Например, историю действий также можно отправить в корпорацию Майкрософт при использовании другого Windows устройства. Вы можете продолжить действия, которые вы начали на других устройствах, на своем устройстве с Windows.
Корпорация Майкрософт также будет использовать ваш история действий для улучшения продуктов и служб Майкрософт, если включен параметр отправки истории действий в корпорацию Майкрософт. Мы применяем методы машинного обучения, чтобы лучше понять, как клиенты в общем используют наши продукты и службы. Мы также отслеживаем ошибки, с которыми сталкиваются клиенты, и помогаем их исправить.
Параметры вашей учетной записи Майкрософт не позволяют отправлять историю действий в корпорацию Майкрософт, но она будет храниться на вашем устройстве, чтобы отслеживать ваши действия.
Дополнительные сведения о том, как продукты и службы Майкрософт используют эти данные для персонализации работы с соблюдением конфиденциальности, см. в заявлении о конфиденциальности.
Управление параметрами журнала действий
На вашем устройстве
Чтобы остановить сохранение истории действий локально на устройстве
Выполните одно из следующих действий:
Чтобы сохранить историю действий на этом устройстве, разочистим его.
Если отключить этот параметр, вы не сможете использовать функции на устройстве, которые используют историю действий, например временную шкалу. Вы по-прежнему сможете просматривать журнал браузера в Microsoft Edge.
В предыдущих версиях Windows этот параметр назывался Let Windows сбор моих действий с этого компьютера.
Чтобы прекратить отправку истории действий для своей учебной или учебной учетной записи в Майкрософт
Выполните одно из следующих действий:
Чтобы отправить историю действий в Корпорацию Майкрософт, семем.
В предыдущих версиях Windows этот параметр назывался Let Windows синхронизация моих действий с этим компьютером с облаком.
Windows также есть дополнительные параметры конфиденциальности, которые контролируют, отправляются ли действия в приложении и данные из истории браузера в корпорацию Майкрософт, например параметр Диагностические данные.
Вы можете очистить и удалить как историю действий, храняуюся на вашем устройстве, так и историю действий, отправленную в Облако Майкрософт.
Очистка истории действий
Выполните одно из следующих действий:
В области Очистить историю действийвыберите Очистить.
Если у вас несколько учетных записей, а ваша учетная запись для работы или учебного заведения является основной на устройстве, очистка истории действий удалит все ваши истории действий, которые синхронизируются с облаком.
На временной шкале можно очистить отдельные действия или все действия отдельного дня. Для этого щелкните правой кнопкой мыши действие и выберите нужный параметр.
Источник
Как: полностью отключить историю активности Windows 10
Обновление: Перестаньте получать сообщения об ошибках и замедляйте работу своей системы с помощью нашего инструмента оптимизации. Получите это сейчас на эту ссылку
Windows 10 собирает историю того, что вы сделали, включая файлы, которые вы открыли, и веб-страницы, которые вы просматривали в Edge. Вы можете отключить эту функцию и удалить действия из представления задач. Временная шкала была добавлена с апрельским обновлением 2018 для Windows 10. Он может синхронизировать ваши действия между вашими компьютерами, но вы должны включить функцию синхронизации. По умолчанию Windows хранит историю ваших действий на вашем компьютере.
Временная шкала Windows 10 помогает получить доступ к действиям, которые вы редактировали в прошлом, но если функция вам не подходит, вы можете отключить ее.
Вы можете получить доступ к временной шкале как минимум двумя различными способами. Вы можете нажать кнопку «Создать представление задачи» на панели задач или использовать ярлык Windows + вкладка.
Чтобы отключить синхронизацию действий на временной шкале:
Использование настроек
Чтобы отключить временную шкалу, вы должны отключить историю действий в Windows 10.
Ноябрьское обновление 2021:
Использование веб-сайта конфиденциальности Microsoft
В разделе «Удалить историю действий» вы можете выбрать, следует ли удалять историю своей учетной записи. Чтобы управлять всей своей историей и удалять ее, щелкните ссылку «Управление данными об активности моей учетной записи Microsoft». Затем вы будете перенаправлены на веб-сайт конфиденциальности Microsoft, где вас могут попросить войти в систему. После входа в учетную запись перейдите на страницу истории активности.
Здесь вы можете увидеть данные, собранные приложением и сервисом, языком, поиском, навигацией, медиа и местоположением. Однако вы по-прежнему можете получить доступ к настройкам конфиденциальности Microsoft для своей учетной записи и сделать это прямо оттуда, даже если вы не на своем компьютере.
Microsoft ясно дала понять, что информация, отображаемая на этой странице, является наиболее важной личной информацией, которую она хранит вместе с вашей учетной записью MS, чтобы улучшить ваше взаимодействие с продуктами и услугами. Так что, если вы используете Timeline и несколько компьютеров, это действительно отличный опыт.
Использование реестра
1: нажмите Windows + R, введите regedit и нажмите Enter.
2: перейдите или введите адресную строку:
Компьютер \ HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System
3: Если вы найдете ключ с именем «PublishUserActivities», дважды щелкните его и измените значение на 0 (шестнадцатеричное).
Если вы не видите этот ключ, просто создайте его, щелкнув правой кнопкой мыши пустую область в этом окне и выбрав New> MOT (32 бита).
Заключение
Функция временной шкалы апрельского обновления 10 для Windows 2018 или более поздней может быть полезна для некоторых пользователей. Тем не менее, на данный момент он довольно обнажен, и не хватает детального контроля над тем, что хранится на временной шкале, а что нет. Более того, поддержка разработчиков не самая лучшая. Перед тем, как закончить это руководство, расскажите нам, почему вы отключили временную шкалу в Windows 10. Комментарий ниже, и давайте обсудим это.
CCNA, веб-разработчик, ПК для устранения неполадок
Я компьютерный энтузиаст и практикующий ИТ-специалист. У меня за плечами многолетний опыт работы в области компьютерного программирования, устранения неисправностей и ремонта оборудования. Я специализируюсь на веб-разработке и дизайне баз данных. У меня также есть сертификат CCNA для проектирования сетей и устранения неполадок.
Источник
Способ 1: Контекстное меню журнала
Очистить журнал событий в операционной системе Windows 10 можно путем использования функции контекстного меню соответствующего элемента. Делается это непосредственно в утилите просмотра событий, поэтому предварительно откройте ее. Если вы не знаете, как это сделать, ознакомьтесь с соответствующей статьей на нашем сайте, в ней автор предлагает несколько способов выполнения поставленной задачи.
Подробнее: Как посмотреть журнал событий в операционной системе Windows 10
После появления на экране окна «Просмотр событий» разверните на боковой панели слева каталог «Журналы Windows» и кликните правой кнопкой мыши по первому элементу из появившегося списка. На изображении ниже это пункт «Приложение». В появившемся контекстном меню нажмите по строке «Очистить журнал».
Подтвердите свои действия, щелкнув в открывшемся диалоговом окне по кнопке «Очистить». Сразу после этого все записи журнала исчезнут. Чтобы очистить журнал событий полностью, проделайте такие же действия с другими пунктами из списка «Журналы Windows».
В конечном итоге, какой бы журнал для просмотра вы не выбрали, он будет пустым, о чем свидетельствует отсутствие записей в соответствующем интерфейсе утилиты.
Способ 2: «Командная строка»
Если вы не хотите вручную чистить каждый журнал Windows 10, воспользуйтесь «Командной строкой». Для выполнения поставленной задачи потребуется ввести всего одну команду, но консоль обязательно должна быть запущена с повышенными привилегиями. Для этого можно воспользоваться поиском по системе. Установите курсор в соответствующее поле на панели задач, введите запрос «Командная строка», а затем в результатах щелкните по пункту «Запуск от имени администратора». Затем в появившемся диалоговом окне контроля учетных записей подтвердите запуск, кликнув по кнопке «Да».
Читайте также: Запуск «Командной строки» от имени администратора в Windows 10
В открывшейся консоли введите приведенную ниже команду и нажмите Enter для ее выполнения. Это мгновенно удалит все данные из журнала событий.
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
Примечание! Не обязательно вписывать эту команду в консоль вручную, вы можете ее скопировать в буфер обмена сочетанием Ctrl + C (предварительно выделив), а затем вставить в «Командную строку», щелкнув правой кнопкой мыши.
Стоит отметить, что через консоль можно удалять журналы выборочно. Для этого достаточно знать только название нужного. Для отображения списка их имен воспользуйтесь приведенной ниже командой.
wevtutil el|more
Найдя в списке название журнала, выполните другую команду, показанную ниже, заменив [название_журнала] на выбранное из списка наименование. В примере ниже на скриншоте вы можете видеть как происходит очистка журнала «HradwareEvents».
wevtutil.exe cl [название_журнала]
Обратите внимание, что после выполнения команды никакого отчета не последует, необходимо дождаться только появления нового запроса на ввод команды — это будет символизировать удачное выполнение процедуры.
Способ 3: «PowerShell»
Очистить журнал событий в Windows 10 можно посредством ввода специальной команды в оболочку «PowerShell». Для успешного выполнения поставленной задачи она должна быть запущена от имени администратора. Для этого можно воспользоваться поиском по системе или контекстным меню кнопки «Пуск». Во втором случае щелкните правой кнопкой мыши по кнопке и в появившемся списке выберите пункт «Windows PowerShell (администратор)». В открывшемся после этого диалоговом окне нажмите «Да».
Читайте также: Запуск «PowerShell» в операционной системе Windows 10
Чтобы очистить все журналы событий в Windows 10, потребуется воспользоваться приведенной ниже командой. Скопируйте ее в буфер обмена и вставьте в консоль правой кнопкой мыши. После этого нажмите Enter для выполнения.
wevtutil el | Foreach-Object {wevtutil cl "$_"}
Обратите внимание! В течение выполнения операции на экране будут появляться надписи «Не удалось очистить журнал …» и «Отказано в доступе». Это происходит по той причине, что некоторые журналы являются важными для операционной системы и их удалить невозможно.
После этого вы можете убедиться в том, что процедура прошла успешно. Для этого откройте утилиту «Просмотр событий» и поочередно просмотрите все пункты в каталоге «Журналы Windows» — они будут пустыми.
Важно! После проделанных действий журнал событий со временем снова начнет заполняться новой информацией. Чтобы систематически не приходилось его чистить одним из описанных в статье способом, можно отключить в Windows 10 специальную службу, отвечающую за сбор информации. На эту тему у нас есть отдельная статья, в которой подробно рассказывается о том, как это сделать. При необходимости ознакомьтесь с ней, перейдя по ссылке ниже.
Подробнее: Как отключить «Журнал событий» в Windows 10
Наша группа в TelegramПолезные советы и помощь
Привет, друзья. В этой публикации поговорим о таком системном компоненте, как журнал событий Windows 10. Это часть классического функционала операционной системы, унаследованная от версий-предшественниц, оснастка консоли управления MMC. Журнал событий являет собой административную функцию, фиксирующую значимые события самой системы, установленных драйверов и программ. Что за события ведёт журнал, и как можно использовать его данные — давайте в этом разбираться ниже.
Журнал событий Windows 10
Итак, журнал событий Windows 10. Это системное средство, фиксирующее различные технические события операционной системы. Может быть полезно при решении разного рода проблем на компьютере – при произвольных выключениях или перезагрузках, частых зависаниях, появлении BSOD, проблемах с обновлениями, сбоях работы драйверов и т.п. Журнал событий входит в число средств администрирования операционной системы.
Находится в составе оснастки консоли MMC «Просмотр событий».
Эту оснастку можно запустить в меню по клавишам Win+X.
Либо с помощью системного поиска, введя в него запрос «просмотр…».
Одной из веток оснастки и есть журнал событий – ветка «Журналы Windows»
События в журнале сгруппированы по категориям, самые значимые из них:
-
«Система» — категория, содержащая события самой операционной системы;
-
«Приложение» — категория, содержащая события установленных в Windows 10 программ;
-
«Безопасность» — категория, содержащая события, связанные со входом пользователей в операционную систему, участием в защищённых локальных сетях, запуском брандмауэра, операциями шифрования и т.п.
Именно в этих категориях преимущественно нужно искать события, которые могут что-то нам рассказать о проблемах с компьютером.
У событий в журнале есть уровни, они же, по сути, типы событий:
-
Сведения — это информационные сообщения, фиксирующие запуски и остановки системных и программных служб, которые выполнены обычно, без каких-то проблем и сбоев;
-
Предупреждения — сообщения, фиксирующие системные и программные события, при выполнении которых возникли проблемы. Эти проблемы потенциально могут быть причинами сбоя Windows 10 и программ;
-
Ошибки — сообщения, фиксирующие события, при выполнении которых произошёл критический сбой программ и Windows 10, влекущий за собой потерю данных. Ошибки бывают обычные и критические. Критические – это те, что повлекли за собой сбой работы системы.
Каждое из событий имеет общее и подробное описание, по формулировкам из которых в случае с предупреждениями и ошибками мы можем дополнительно наюзать в Интернете информацию, что это за проблема, и что с ней делать.
Но, друзья, пересматривать все предупреждения и ошибки журнала, заморачиваться ими, что-то выяснять – всё это без надобности делать не нужно. Наличие в журнале огромного числа ошибок и предупреждений не значит, что с компьютером что-то не то. В работе Windows 10 происходит множество различных процессов, их работа иногда завершается нештатно, но эти процессы перезапускаются и потом нормально работают. Чем больше на компьютере используется различного ПО, тем больше будет разного типа событий. Обращаться к журналу событий Windows 10 нужно только тогда, когда у нас есть какая-то проблема – сбои работы драйверов, произвольное разлогинивание системы, зависания, произвольные перезагрузки или выключения компьютера, появление BSOD и т.п. В таких случаях журнал событий, возможно, поможет нам отыскать причину проблемы или как минимум даст направления, в которых нужно искать причину. Также журнал позволит отследить частоту и закономерность сбоев работы системы и программ, что может быть важно при определении причины проблемы.
События в журнале можно фильтровать по ключевым словам и сортировать по различным критериям, в частности, по уровню критичности, дате и времени фиксации события. Например, можем отсортировать события по дате и времени, чтобы отследить, какие события в конкретный день предшествовали внезапному сбою работы компьютера. Другой пример: дабы отследить все сбои, можем отсортировать сообщения по уровню ошибок в начале списка и посмотреть дату и время каждого сбоя.
В контекстном меню или на панели консоли справа есть опции событий, которые нам могут пригодиться в процессе их отслеживания:
-
«Свойства событий» — открывает событие в отдельном окошке для удобства просмотра;
-
«Копировать» — копирует сведения события как таблицу или как простой текст;
-
«Сохранить выбранные события» — сохраняет событие в отдельный файл.
Если вы столкнулись с какой-то проблемой и отследили все важные события журнала, после этого можно очистить его. Дабы в будущем, если снова столкнётесь с необходимостью отслеживания событий, в журнале был, так сказать, меньший фронт работы. Для очистки вызываем на каждой очищаемой категории контекстное меню и выбираем «Очистить журнал».
В процессе работы Windows постоянно ведёт запись различных системных событий в файлы журналов, которые можно просмотреть с помощью утилиты «Просмотр событий». Сами по себе журналы не занимают много места на диске, но общее количество операций записи на продолжительном отрезке времени значительно и потенциально может влиять на общий ресурс дисков, особенно SSD. При желании, запись событий в журнал можно отключить.
В этой инструкции подробно о способах отключить журнал событий полностью или частично для отдельных событий, очистить его и дополнительная информация, которая может быть полезной.
Отключение службы «Журнал событий Windows»
Самый очевидный и простой способ отключить журнал событий — отключение соответствующей службы, однако у этого способа есть минусы:
- От указанной службы зависят и другие службы, в частности могут возникнуть проблемы с работой планировщика заданий, службами сведений о подключенных сетях, списка сетей и автоматической настройки сетевых устройств.
- Полное отключение журнала событий может быть не лучшим вариантом: собираемые в журналах сведения о сбоях могут быть полезными для диагностики проблем с работой системы.
Список зависимостей службы отличается в разных версиях Windows: в Windows 11 проблем после отключения службы «Журнал событий» вы вероятнее всего не заметите, а в Windows 10 они могут быть.
Для того, чтобы отключить службу «Журнал событий Windows» (чего я не рекомендую) вы можете использовать оснастку «Службы»:
- Нажмите клавиши Win+R на клавиатуре, введите services.msc и нажмите Enter.
- В списке служб найдите «Журнал событий Windows» и дважды нажмите по этой службе.
- Нажмите кнопку «Остановить», измените тип запуска на «Отключена» и нажмите «Ок».
Ещё один способ — запустить командную строку от имени администратора и по порядку использовать следующие команды:
net stop eventlog sc config eventlog start= disabled
Это полностью отключит ведение журнала событий, но, при возникновении проблем с работой других системных служб не забудьте, что, возможно, они были вызваны описанными действиями.
Отключение записи отдельных событий или выбранных журналов
Вместо отключения журнала событий полностью, вы можете отключить запись лишь отдельных событий — тех, которые записываются чаще всего, при этом не несут полезной информации для большинства пользователей.
Прежде всего — это события «Аудит успеха» в журнале «Безопасность». Для отключения записи этих событий в командной строке от имени администратора используйте одну из следующих команд (первая — для русскоязычной версии Windows, вторая — для англоязычной или переведенной на русский язык путем установки языкового пакета):
auditpol /set /subcategory:"Подключение платформы фильтрации" /success:disable /failure:enable auditpol /set /subcategory:"Filtering Platform Connection" /success:disable /failure:enable
Указанные команды отключат запись событий типа «Успех», но оставят запись событий «Отказ». Аналогичным образом возможно отключение событий других подкатегорий, полный список подкатегорий можно получить с помощью команды auditpol /list /subcategory:*
Следующая возможность — отключение записи определенных событий по их GUID, шаги будут следующими (пример для журнала «Система»):
- В просмотре событий (Win+R — eventvwr.msc) найдите событие, запись которых нужно отключить, на вкладке «Подробности» включите режим XML, здесь нам потребуется значение параметра GUID.
- В редакторе реестра (Win+R — regedit) перейдите к разделу
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System
- В этом разделе выберите подраздел с именем, совпадающим с GUID из первого шага, дважды нажмите по параметру с именем Enabled и установите значение 0 для него, повторите то же самое для параметра EnableProperty
- Закройте редактор реестра и перезагрузите компьютер.
И ещё один метод для журналов приложений, на примере журнала WFP (который у многих пользователей постоянно пишется с большой интенсивностью):
- В Просмотре событий откройте «Журналы приложений» и перейдите к нужному журналу, например: Microsoft — Windows — WFP — Operational
- Нажмите правой кнопкой мыши по журналу и выберите пункт «Отключить журнал».
Отдельно по журналу wfpdiag.etl: ещё одна возможность отключения — команда
netsh wfp set options netevents = off
Очистка журнала событий
Файлы журналов событий располагаются в папках
C:\Windows\System32\winevt\Logs C:\Windows\System32\LogFiles
И некоторых других расположениях, например — C:\ProgramData\Microsoft\Windows\wfp\
Очистка вручную путем удаления файлов нежелательна и не всегда удобна. Вы можете:
- Использовать опцию «Очистить журнал» для соответствующего журнала в «Просмотре событий» в контекстном меню журнала или его свойствах.
- Использовать одну из команд (первая — для командной строки, вторая — для PowerShell, в обоих случаях требуется запуск от имени администратора):
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1" Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }
Если остаются вопросы по журналам событий в Windows, задавайте их в комментариях — не исключено что я или кто-то из читателей сможет подсказать.