In this article…
- What is the Windows Event Log (EventLog) service?
- What happens if I stop EventLog?
- Is it OK to disable the Windows Event Log service?
- Questions? Problems?
What is the Windows Event Log (EventLog) service?
The EventLog service manages event logs — repositories of events generated by services, scheduled tasks and applications working closely with the Windows operating system.
The service’s display name is Windows Event Log and it runs inside the service host process, svchost.exe. By default, the service is set to start automatically when your computer boots:
You can use the Windows Event Viewer to browse the event logs managed by the service. For example, here are some of the records captured in the Windows Security event log:
What happens if I stop EventLog?
You may find it virtually impossible to stop the Windows Event Log service.
That’s because the service supports several important system services. You can see that list on the service’s Dependencies tab:
And because of those dependency relationships, attempting to stop EventLog triggers a “cascade” that causes all dependent services to stop too. Here you can see Windows alerting us of that situation:
But after we clicked “Yes”, Windows failed to stop EventLog and the dependent services! A peculiar error was returned:
We tracked the issue to “Network List Service” (netprofm). That service refused every attempt to stop it, consistently failing with the error above. And since we could not stop “Network List Service”, we could not stop EventLog either.
Is it OK to disable the Windows Event Log service?
No — it’s not safe to disable the Windows Event Log service.
Indeed, in the very description of the service, Microsoft warns:
Stopping this service may compromise security and reliability of the system.
That advice makes sense because EventLog provides essential support for Windows Services, scheduled tasks, and other background programs. Those components typically run “headless”, without a user interface, and rely on the event logs to record important events.
If the EventLog service stops, those background components will have no way to chronicle their activities. There would be an ominous gap in the operating system’s low-level records.
With that in mind, it’s easy to see why the EventLog service is an alluring target for attackers looking to compromise a system. Once the service has been crippled, vital forensics records may not be captured and intruders could operate with impunity.
Questions? Problems?
If you would like to know more about the Windows Event Log service, or you have a specific problem, please feel free to get in touch. We will do our best to help you!
You may also like…
Download Windows Speedup Tool to fix errors and make PC run faster
Windows Event Log service maintains a set of event logs that the system, system components, and applications use to record events. The service exposes functions that allow programs to maintain and manage the event logs and perform operations on the logs, such as archiving and clearing. As such, administrators can maintain event logs and perform administrative tasks requiring administrator privileges.
If you are having difficulty starting the following, it is quite possible that one reason is that the Windows Event Log Service is Not Running.
- Task Scheduler
- Windows Event Calendar
- Messenger Sharing Folders
In such a scenario, you may get error messages like:
Event Log service is unavailable. Verify that the service is running
Windows could not start the Windows Event Log service on Local Computer
First, reboot your system and see if it helps. Sometimes a simple restart helps reinitialize this service. If the Windows Event Log shows as being started, re-start it from Services Manager.
To check if the Windows Event Log service is started or stopped, Run services.msc and hit Enter to open the Services Manager. Here, again right-click on Windows Event Log Service, check up its Properties.
Ensure that the Startup type is set on Automatic and that the services is Started; and that it runs in the Local Service account.
Also ensure in the Recovery tab, all three drop-down boxes, show the option as ‘Restart the Service’, in case of Failure. Reboot if required.
At times the Windows Event Log Service still will not start, and you may instead get the following error message:
System cannot find the file specified
In this case, open the following folder:
C:\Windows\System32\winevt\Logs
This logs folder contains Event Logs in .evtx format and can only be read with the Event Viewer. Give this logs folder Read-Write access rights and see if it helps.
You might also want to do the following.
Open Registry Editor and navigate to the following key:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eventlog
Double-click ObjectName and ensure that its value is set at NT AUTHORITY\LocalService. If it is not, then change it.
If it still does not help, run the System File Checker and review its logs.
Read: Windows Event Log high CPU, Disk, Memory, Power Usage.
Anand Khanse is the Admin of TheWindowsClub.com, a 10-year Microsoft MVP (2006-16) & a Windows Insider MVP (2016-2022). Please read the entire post & the comments first, create a System Restore Point before making any changes to your system & be careful about any 3rd-party offers while installing freeware.
Reader Interactions
The Service Windows Event Log manages events and event logs. This service supports logging, querying, registering, logging, and managing event metadata.
It can display events in both XML and plain text formats. Stopping this service can affect the security and reliability of the system.
How to start / stop the Windows Event Log service from Services.msc
Take the following steps:
Click the Start menu and select Search programs and files .
Enter services.msc and press Enter.
Locate the Windows Event Log service , observe its current state, and open it to make changes.
From the General tab , you can choose Start / Stop and change the Startup type of the Windows Event Log service .
How to start / stop the Windows Event Log service from Registry Editor
Take the following steps:
Click the Start menu and select Search programs and files .
Enter regedit and press Enter.
Confirm the User Account Control pop-up window .
Warning:
Serious problems might occur if you modify the registry incorrectly by using Registry Editor or by another method. You may need to reinstall your operating system and Microsoft cannot guarantee that these problems can be resolved.
Navigate to HKEY_LOCAL_MACHINESYSTEMCurrentControlSetserviceseventlog and locate the Start registry key .
Double click on Start and edit the value:
Change Startup type :
- Automatic — 2
- Manual — 3
- Disabled — 4
- Automatic (Delayed Start) — 2
Note : When you change to Automatic (Delayed Start) , the new key DelayedAutostart is created with the value 1.
How to start / stop the Windows Event Log service from the Command Prompt
Take the following steps:
Click the Start menu and select Search programs and files .
Open Command Prompt with admin rights (enter cmd , right-click on the cmd icon in Programs and click Run as administrator ).
Confirm the User Account Control pop-up window .
Select and copy a registry key, then right-click on the Command Prompt window, then click Enter.
To start the Windows Event Log service:
net start eventlogNote : You cannot start a service if the Startup type is Disabled.
To stop the Windows Event Log service:
net stop eventlogTo change the Startup type :
- Automatic:
REG add "HKLMSYSTEMCurrentControlSetserviceseventlog" /v Start /t REG_DWORD /d 2 /f- Manual:
REG add "HKLMSYSTEMCurrentControlSetserviceseventlog" /v Start /t REG_DWORD /d 3 /f- Disabled:
REG add "HKLMSYSTEMCurrentControlSetserviceseventlog" /v Start /t REG_DWORD /d 4 /f- Automatic (Delayed Start):
REG add "HKLMSYSTEMCurrentControlSetserviceseventlog" /v Start /t REG_DWORD /d 2 /fNote : When you change to Automatic (Delayed Start) , the new key DelayedAutostart is created with the value 1 .
REG add "HKLMSYSTEMCurrentControlSetserviceseventlog" /v DelayedAutostart /t REG_DWORD /d 1 /fWhen you change from Automatic (Delayed Start) to Automatic , DelayedAutostart changes the value to 0 .
How to start / stop the Windows Event Log service using System Configuration
Take the following steps:
Click the Start menu and select Search programs and files .
Enter msconfig and press Enter.
In System Configuration , go to the Services tab and look for Windows Event Log service .
Uncheck the corresponding box to prevent this service from starting and then click OK to finish
Any changes in System Configuration will be applied later.
5 stars4 stars3 stars2 stars1 star4 ★ | 451 Vote
This service manages events and event logs. It supports logging events, querying events, subscribing to events, archiving event logs, and managing event metadata. It can display events in both XML and plain text format. Stopping this service may compromise security and reliability of the system.
This service also exists in Windows 11, 8, Vista and XP.
Startup Type
| Windows 10 version | Home | Pro | Education | Enterprise |
|---|---|---|---|---|
| 1507 | Automatic | Automatic | Automatic | Automatic |
| 1511 | Automatic | Automatic | Automatic | Automatic |
| 1607 | Automatic | Automatic | Automatic | Automatic |
| 1703 | Automatic | Automatic | Automatic | Automatic |
| 1709 | Automatic | Automatic | Automatic | Automatic |
| 1803 | Automatic | Automatic | Automatic | Automatic |
| 1809 | Automatic | Automatic | Automatic | Automatic |
| 1903 | Automatic | Automatic | Automatic | Automatic |
| 1909 | Automatic | Automatic | Automatic | Automatic |
| 2004 | Automatic | Automatic | Automatic | Automatic |
| 20H2 | Automatic | Automatic | Automatic | Automatic |
| 21H1 | Automatic | Automatic | Automatic | Automatic |
| 21H2 | Automatic | Automatic | Automatic | Automatic |
| 22H2 | Automatic | Automatic | Automatic | Automatic |
Default Properties
| Display name: | Windows Event Log |
| Service name: | EventLog |
| Type: | share |
| Path: | %WinDir%\System32\svchost.exe -k LocalServiceNetworkRestricted -p |
| File: | %WinDir%\System32\wevtsvc.dll |
| Error control: | normal |
| Group: | Event Log |
| Object: | NT AUTHORITY\LocalService |
| Privileges: |
|
Default Behavior
The Windows Event Log service is running as NT AUTHORITY\LocalService in a shared process of svchost.exe. Other services might run in the same process. If Windows Event Log fails to start, the error is logged. Windows 10 startup proceeds, but a message box is displayed informing you that the EventLog service has failed to start.
Dependencies
If Windows Event Log is stopped, the following services cannot start:
- Network Location Awareness
- Windows Event Collector
Restore Default Startup Type of Windows Event Log
Automated Restore
1. Select your Windows 10 edition and release, and then click on the Download button below.
2. Save the RestoreWindowsEventLogWindows10.bat file to any folder on your hard drive.
3. Right-click the downloaded batch file and select Run as administrator.
4. Restart the computer to save changes.
Note. Make sure that the wevtsvc.dll file exists in the %WinDir%\System32 folder. If this file is missing you can try to restore it from your Windows 10 installation media.
Yea, though I walk through the valley of the shadow of death, I will fear no evil: for thou art with me; thy rod and thy staff they comfort me.
В процессе работы Windows постоянно ведёт запись различных системных событий в файлы журналов, которые можно просмотреть с помощью утилиты «Просмотр событий». Сами по себе журналы не занимают много места на диске, но общее количество операций записи на продолжительном отрезке времени значительно и потенциально может влиять на общий ресурс дисков, особенно SSD. При желании, запись событий в журнал можно отключить.
В этой инструкции подробно о способах отключить журнал событий полностью или частично для отдельных событий, очистить его и дополнительная информация, которая может быть полезной.
Отключение службы «Журнал событий Windows»
Самый очевидный и простой способ отключить журнал событий — отключение соответствующей службы, однако у этого способа есть минусы:
- От указанной службы зависят и другие службы, в частности могут возникнуть проблемы с работой планировщика заданий, службами сведений о подключенных сетях, списка сетей и автоматической настройки сетевых устройств.
- Полное отключение журнала событий может быть не лучшим вариантом: собираемые в журналах сведения о сбоях могут быть полезными для диагностики проблем с работой системы.
Список зависимостей службы отличается в разных версиях Windows: в Windows 11 проблем после отключения службы «Журнал событий» вы вероятнее всего не заметите, а в Windows 10 они могут быть.
Для того, чтобы отключить службу «Журнал событий Windows» (чего я не рекомендую) вы можете использовать оснастку «Службы»:
- Нажмите клавиши Win+R на клавиатуре, введите services.msc и нажмите Enter.
- В списке служб найдите «Журнал событий Windows» и дважды нажмите по этой службе.
- Нажмите кнопку «Остановить», измените тип запуска на «Отключена» и нажмите «Ок».
Ещё один способ — запустить командную строку от имени администратора и по порядку использовать следующие команды:
net stop eventlog sc config eventlog start= disabled
Это полностью отключит ведение журнала событий, но, при возникновении проблем с работой других системных служб не забудьте, что, возможно, они были вызваны описанными действиями.
Отключение записи отдельных событий или выбранных журналов
Вместо отключения журнала событий полностью, вы можете отключить запись лишь отдельных событий — тех, которые записываются чаще всего, при этом не несут полезной информации для большинства пользователей.
Прежде всего — это события «Аудит успеха» в журнале «Безопасность». Для отключения записи этих событий в командной строке от имени администратора используйте одну из следующих команд (первая — для русскоязычной версии Windows, вторая — для англоязычной или переведенной на русский язык путем установки языкового пакета):
auditpol /set /subcategory:"Подключение платформы фильтрации" /success:disable /failure:enable auditpol /set /subcategory:"Filtering Platform Connection" /success:disable /failure:enable
Указанные команды отключат запись событий типа «Успех», но оставят запись событий «Отказ». Аналогичным образом возможно отключение событий других подкатегорий, полный список подкатегорий можно получить с помощью команды auditpol /list /subcategory:*
Следующая возможность — отключение записи определенных событий по их GUID, шаги будут следующими (пример для журнала «Система»):
- В просмотре событий (Win+R — eventvwr.msc) найдите событие, запись которых нужно отключить, на вкладке «Подробности» включите режим XML, здесь нам потребуется значение параметра GUID.
- В редакторе реестра (Win+R — regedit) перейдите к разделу
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System
- В этом разделе выберите подраздел с именем, совпадающим с GUID из первого шага, дважды нажмите по параметру с именем Enabled и установите значение 0 для него, повторите то же самое для параметра EnableProperty
- Закройте редактор реестра и перезагрузите компьютер.
И ещё один метод для журналов приложений, на примере журнала WFP (который у многих пользователей постоянно пишется с большой интенсивностью):
- В Просмотре событий откройте «Журналы приложений» и перейдите к нужному журналу, например: Microsoft — Windows — WFP — Operational
- Нажмите правой кнопкой мыши по журналу и выберите пункт «Отключить журнал».
Отдельно по журналу wfpdiag.etl: ещё одна возможность отключения — команда
netsh wfp set options netevents = off
Очистка журнала событий
Файлы журналов событий располагаются в папках
C:\Windows\System32\winevt\Logs C:\Windows\System32\LogFiles
И некоторых других расположениях, например — C:\ProgramData\Microsoft\Windows\wfp\
Очистка вручную путем удаления файлов нежелательна и не всегда удобна. Вы можете:
- Использовать опцию «Очистить журнал» для соответствующего журнала в «Просмотре событий» в контекстном меню журнала или его свойствах.
- Использовать одну из команд (первая — для командной строки, вторая — для PowerShell, в обоих случаях требуется запуск от имени администратора):
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1" Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }
Если остаются вопросы по журналам событий в Windows, задавайте их в комментариях — не исключено что я или кто-то из читателей сможет подсказать.