Журналы системы windows можно ли удалить — Ваш верный помощник с OS Windows

Если вы видите это сообщение, значит, произошла проблема с загрузкой файлов в стилей (CSS) нашего сайта. Попробуйте сбросить кэш браузера (Ctrl+F5).
Если это не поможет, а вы находитесь в регионе, где возможны ограничения интернет-трафика с российских серверов — воспользуйтесь VPN.

В программе CCleaner есть пункт «Файлы журналов Windows». Они предлагаются к удалению.

Что будет, если удалить их?

Я удаляю их когда вижу, хотя они не мешают. А вот насчет программы CCleaner я не уверен что она удаляет временные файлы. Потому что она каждый день предлагает удалить и после удаления я сам еще нахожу кучу мусора. Мне кажется она просто делает вид что удаляет. Вот когда вручную удаляю, то потом временные файлы долго накапливаются.

А для журналов можно задать время и они будут автоматически удалятся в назначенное время. Хотя у них объем не так велик.

автор вопроса выбрал этот ответ лучшим

Словен
[68.6K]

9 лет назад

Если коротко, то эти файлы-отчёты по различным аспектам работы ОС. Информация в них нужна для самодиагностики, отправки данных мелкомягким и диагностики специалисту-компьютерщику. В общем удалить эти файлы можно без особых последствий.

землянин
[67.8K]

9 лет назад

Я думаю, что их можно и нужно удалять. В крайнем случае я постоянно их удаляю и никогда не замечал никаких последствий. А значит, что их удаление не сказывается на дальнейшей работе компьютера и установленных на нем программ.

марсений
[211]

9 лет назад

если в компьютере не щарищь не удоляй -обяснять извини заморочно почему-хоть я их удоляю-потому как предполагаю что это такое подчёркиваю незнаю

alexm12
[287K]

9 лет назад

Журналы в системе нужны для выявления сбоев. Пользователем. Если вы о них до сих пор не знали, то вам они не нужны. Удаляйте. Система все равно новые напишет.

Знаете ответ?

Источник

В Windows вы можете очистить журналы событий Event Viewer с помощью графической оснастки eventvwr.msc, из командной строки и с помощью PowerShell.

Содержание:

Очистка журнал событий из графической консоли Event Viewer
Удаление логов Windows из командной строки
Clear-EventLog: команда PowerShell для очистки журналов событий

Очистка журнал событий из графической консоли Event Viewer

Самый интуитивный способ очистки журналов событий Windows – воспользоваться графической консоль Event Viewer.

Запустите консоль
eventvwr.msc
;

Картинка с сайта: winitpro.ru
Щелкните правой кнопкой по журналу и выберите Clear Log;

Такой способ позволяет быстро удалить все события из одного конкретного журнала. Однако в Windows используется несколько сотен журналов для разных компонентов операционной системы и стороннего ПО.

По умолчанию Windows хранит журналы в файлах с расширением EVTX в каталоге
%SystemRoot%\System32\Winevt\Logs\
.

$Каталог System32\Winevt\Logs с EVTX логами WIndows$

Если вам нужно очистить их все – это будет утомительно вручную прощелкать все разделы Event Viewer и очистить каждый журнал. В этом случае для удаления событий лучше использовать PowerShell или командную строку.

Удаление логов Windows из командной строки

Для очистки журналов Windows из командной строки используется утилита wevtutil.exe.

Вывести список зарегистрированных в Windows журналов событий:

WevtUtil enum-logs

или короткий вариант:

WevtUtil el

Для удаления событий из одного конкретного журнала, скопируйте его имя и выполните команду:

WevtUtil cl Microsoft-Windows-GroupPolicy/Operational

Перед очисткой можно создать резервную копию событий в журнале в отдельный файл:

WevtUtil cl Microsoft-Windows-GroupPolicy/Operational /bu:GPOLOG_Bak.evtx

Можно очистить сразу все журналы событий из cmd.exe:

for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"

Для BAT файла нужно использовать немного другой синтаксис:

for /F "tokens=*" %%1 in ('wevtutil.exe el') DO wevtutil.exe cl "%%1"

Clear-EventLog: команда PowerShell для очистки журналов событий

В PowerShell для получения списка журналов событий Windows и их очистки можно использовать командлеты Get-WinEvent и Clear-EventLog.

Откройте консоль PowerShell с правами администратора, выведите список всех имен журналов в Windows и их настройки:

Get-WinEvent -ListLog *

get-winevent вывести список журналов event viewer в windows

Команда выведет максимальные размеры и параметры всех журналов событий Windows.

Чтобы удалить все события из двух журналов (например, журналов Security и System), выполните команду:

Clear-EventLog –LogName Security,System

При этом журнал очищается, и в него записывается событие с EventID 104 или 1102 с временем очистки, пользователем, выполнившим и описанием:

The System log file was cleared
The audit log was cleared.

Очистка журналов фиксируется событием EventId 104 с текстом «The System log file was cleared»

Для очистки административных и операционных журналов событий Windows, выполните такую однострочную команду PowerShell:

Get-WinEvent -ListLog * -Force | % { Wevtutil.exe cl $_.Logname }

Или:

wevtutil el | Foreach-Object {wevtutil cl "$_"}

Примечание. В нашем примере не удалось очистить 3 журнала из-за ошибки доступа. Попробуйте вручную очистить содержимое этих журналов из консоли Event Viewer.

Wevtutil полная очистка журналов событий Windows

Источник

Всем привет!

Очистка следов работы в операционной системе — один из важнейших этапов для скрытия каких либо действий.

Во время расследования криминалисты проверяют следы активности на компьютерах для выявления каких либо действий. Это один из примеров, почему вам стоит научиться работать с логами и понять как это работает.

ВНИМАНИЕ!

Автор статьи никого не призывает к правонарушениям и отказывается нести ответственность за ваши действия. Вся информация предоставлена исключительно в ознакомительных целях. Спасибо!

Для начала разберёмся с некоторыми типами журналов и их расположением для примера.

Журналы DHCP-сервера — это журналы, в которых ведется учет присвоения IP-адресов в сети. В этом журнале хранятся все события при взаимодействии между потенциальным DHCP-клиентом и DHCP-сервером. Наибольший интерес здесь представляют MAC-адреса клиентов, которые будут занесены в соответствующий журнал событий.

Журналы DHCP хранятся в каталоге % SystemRoot% \ System32 \ dhcp

Журналы веб-сервера хранят сообщения обо всех действиях при взаимодействии между веб-сервером и клиентским веб-браузером.

Файлы журнала Internet Information Server (IIS) находятся в

% SystemDrive% \ inetpub \ logs \ LogFiles

Event logs фиксируют все, что происходит в системе, с момента ее включения и до выключения. В Windows 10 конфигурация журналов событий хранится в следующем разделе реестра:

HKLM \ System \ ControlSet00x \ Services \ EventLog

Чтобы просмотреть список имён доступных журналов событий в Windows 10, используйте команду

wevtutil el

Использование команды wevtutil gl <имя журнала> представит информацию о конфигурации для выбранного журнала:

Стоит отметить, что сами системные журналы Windows хранятся по пути C:\Windows\System32\winevt \Logs в локальной системе:

В Windows средство просмотра событий является приложением, которое объединяет журналы приложений, безопасности, установки и системы на единой информационной панели. Это приложение располагается в следующем каталоге:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Просмотрщик событий

Также для открытия средства просмотра событий в Windows достаточно ввести сочетание к��авиш Win + R , и в окне «Выполнить» ввести eventvwr.msc и нажать OK:

В окне «Просмотр событий» журналы можно очистить, просто выбрав функцию «Очистить журнал» кнопкой на панели «Действия». Чтобы очистить журналы для определенной категории, например всех журналов, которые находятся в группе «Приложение», просто щелкните правой кнопкой мыши имя группы и выберите «Очистить журнал»:

Также можно очистить журналы с помощью консоли:

for / F «tokens = *»% 1 в (‘wevtutil.exe el’) DO wevtutil.exe cl «% 1»

Либо мы можем воспользоваться Powershell.

Для этого вводим следующую команду:

wevtutil el | Foreach-Object {wevtutil cl “$_”}

После выполнения команды журналы стираются, как показано в средстве просмотра событий:

Meterpreter разработан, чтобы быть скрытым, мощным и динамически расширяемым. После успешного закрепления в системы вы можете использовать команду clearev для очистки журналов приложений, системы и безопасности:

clearev

Meterpreter очищает журналы каждой категории в целевой системе. Также указано количество очищенных записей.

В этой статье мы рассмотрели способы скрытия активности во время тестирования на проникновение, а также обычного использования системы.

На этом мы заканчиваем. Спасибо за внимание.

Следите за мной в соц-сетях:

• Tik-Tok: aferium

• Группа ВК: aferium_vk

• Телеграм: aferium

• Яндекс Дзен: aferium

• VC.RU: aferium

• Teletype: aferium

Источник

В процессе работы Windows постоянно ведёт запись различных системных событий в файлы журналов, которые можно просмотреть с помощью утилиты «Просмотр событий». Сами по себе журналы не занимают много места на диске, но общее количество операций записи на продолжительном отрезке времени значительно и потенциально может влиять на общий ресурс дисков, особенно SSD. При желании, запись событий в журнал можно отключить.

В этой инструкции подробно о способах отключить журнал событий полностью или частично для отдельных событий, очистить его и дополнительная информация, которая может быть полезной.

Отключение службы «Журнал событий Windows»

Самый очевидный и простой способ отключить журнал событий — отключение соответствующей службы, однако у этого способа есть минусы:

От указанной службы зависят и другие службы, в частности могут возникнуть проблемы с работой планировщика заданий, службами сведений о подключенных сетях, списка сетей и автоматической настройки сетевых устройств.
Полное отключение журнала событий может быть не лучшим вариантом: собираемые в журналах сведения о сбоях могут быть полезными для диагностики проблем с работой системы.

Список зависимостей службы отличается в разных версиях Windows: в Windows 11 проблем после отключения службы «Журнал событий» вы вероятнее всего не заметите, а в Windows 10 они могут быть.

Для того, чтобы отключить службу «Журнал событий Windows» (чего я не рекомендую) вы можете использовать оснастку «Службы»:

Нажмите клавиши Win+R на клавиатуре, введите services.msc и нажмите Enter.
В списке служб найдите «Журнал событий Windows» и дважды нажмите по этой службе.

Картинка с сайта: remontka.pro
Нажмите кнопку «Остановить», измените тип запуска на «Отключена» и нажмите «Ок».

Картинка с сайта: remontka.pro

Ещё один способ — запустить командную строку от имени администратора и по порядку использовать следующие команды:

net stop eventlog
sc config eventlog start= disabled

Это полностью отключит ведение журнала событий, но, при возникновении проблем с работой других системных служб не забудьте, что, возможно, они были вызваны описанными действиями.

Отключение записи отдельных событий или выбранных журналов

Вместо отключения журнала событий полностью, вы можете отключить запись лишь отдельных событий — тех, которые записываются чаще всего, при этом не несут полезной информации для большинства пользователей.

Прежде всего — это события «Аудит успеха» в журнале «Безопасность». Для отключения записи этих событий в командной строке от имени администратора используйте одну из следующих команд (первая — для русскоязычной версии Windows, вторая — для англоязычной или переведенной на русский язык путем установки языкового пакета):

auditpol /set /subcategory:"Подключение платформы фильтрации" /success:disable /failure:enable
auditpol /set /subcategory:"Filtering Platform Connection" /success:disable /failure:enable

Указанные команды отключат запись событий типа «Успех», но оставят запись событий «Отказ». Аналогичным образом возможно отключение событий других подкатегорий, полный список подкатегорий можно получить с помощью команды auditpol /list /subcategory:*

Следующая возможность — отключение записи определенных событий по их GUID, шаги будут следующими (пример для журнала «Система»):

В просмотре событий (Win+R — eventvwr.msc) найдите событие, запись которых нужно отключить, на вкладке «Подробности» включите режим XML, здесь нам потребуется значение параметра GUID.

Картинка с сайта: remontka.pro
В редакторе реестра (Win+R — regedit) перейдите к разделу
```
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System
```
В этом разделе выберите подраздел с именем, совпадающим с GUID из первого шага, дважды нажмите по параметру с именем Enabled и установите значение 0 для него, повторите то же самое для параметра EnableProperty

Картинка с сайта: remontka.pro
Закройте редактор реестра и перезагрузите компьютер.

И ещё один метод для журналов приложений, на примере журнала WFP (который у многих пользователей постоянно пишется с большой интенсивностью):

В Просмотре событий откройте «Журналы приложений» и перейдите к нужному журналу, например: Microsoft — Windows — WFP — Operational
Нажмите правой кнопкой мыши по журналу и выберите пункт «Отключить журнал».

Картинка с сайта: remontka.pro

Отдельно по журналу wfpdiag.etl: ещё одна возможность отключения — команда

netsh wfp set options netevents = off

Очистка журнала событий

Файлы журналов событий располагаются в папках

C:\Windows\System32\winevt\Logs
C:\Windows\System32\LogFiles

И некоторых других расположениях, например — C:\ProgramData\Microsoft\Windows\wfp\

Очистка вручную путем удаления файлов нежелательна и не всегда удобна. Вы можете:

Использовать опцию «Очистить журнал» для соответствующего журнала в «Просмотре событий» в контекстном меню журнала или его свойствах.

Картинка с сайта: remontka.pro
Использовать одну из команд (первая — для командной строки, вторая — для PowerShell, в обоих случаях требуется запуск от имени администратора):
```
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }
```

Если остаются вопросы по журналам событий в Windows, задавайте их в комментариях — не исключено что я или кто-то из читателей сможет подсказать.

Источник

Эта статья особенно пригодится обладателям ультрабуков с малым объёмом памяти.

1. Содержимое «Корзины»

Как удалить ненужные файлы Windows — содержимое «Корзины»

Путь: shell:RecycleBinFolder

Собственно, окончательно стереть ранее удалённые файлы — самое простое, что можно придумать. Откройте «Проводник», введите в адресной строке «Корзина» и нажмите Enter. Затем щёлкните «Средства работы с корзиной» → «Очистить корзину». Нажмите «Да».

2. Временные файлы Windows

Как удалить ненужные временные файлы Windows

Путь: C:\Windows\Temp

Тут хранятся разные данные, которые Windows когда‑то использовала для ускорения своей работы, но потом они стали не нужны. В принципе, система сама периодически наполняет и очищает эту папку, так что обычно трогать её не надо. Но если у вас не хватает места и надо его срочно освободить, откройте Temp, выделите там все файлы нажатием комбинации Ctrl + A и удалите их.

3. Файл гибернации

Как удалить ненужные файлы Windows: файл гибернации

Путь: C:\hiberfil.sys

В этот файл Windows сохраняет содержимое оперативной памяти компьютера, когда тот входит в режим глубокого сна — гибернации. Это полезно для ноутбуков и тех устройств, которые приходится часто включать и выключать.

Но если вы предпочитаете не отсоединять ПК от сети и подолгу не перезагружаете его, как делают многие владельцы десктопов, файл гибернации вам особо не нужен.

Удалить его можно так. Нажмите комбинацию Win + X и щёлкните в появившемся меню пункт «Windows PowerShell (администратор)». Введите команду:

powercfg.exe /hibernate off

После этого перезагрузитесь — и система удалит лишние файлы самостоятельно.

4. Папка Windows.old

Как удалить ненужные файлы Windows: папка Windows.old

Путь: C:\Windows.old

Всякий раз, когда вы устанавливаете большое обновление Windows, предыдущая версия системы сохраняется в папке Windows.old. Это нужно, чтобы вы смогли вернуть программы и параметры в то состояние, что было до апдейта. Но если вы всем довольны и не хотите откатывать обновление, можно удалить папку.

Нажмите комбинацию Win + X и щёлкните в появившемся меню пункт «Windows PowerShell (администратор)». Введите команду:

rd /s /q c:windows.old

Затем перезагрузитесь.

5. LiveKernelReports

Как удалить ненужные файлы Windows: LiveKernelReports

Путь: C:\Windows\LiveKernelReports

Эта папка содержит журналы, в которые Windows записывает состояние своего ядра. Их анализ может помочь, если у вас на компьютере регулярно появляется так называемый синий экран смерти — BSoD. Но если ПК работает нормально и проблем с ним не возникает, записи можно и стереть.

Выделите в папке LiveKernelReports файлы в формате DMP (остальное не трогайте) и удалите их.

6. Downloaded Program Files

Путь: C:\Windows\Downloaded Program Files

Название этой папки может немного сбить с толку — нет, в ней не хранятся скачанные вами приложения. Вместо этого она содержит файлы, необходимые для работы ActiveX Internet Explorer и апплетов Java. Это абсолютно бесполезные данные, и их можно без зазрения совести удалить.

7. SoftwareDistribution

Путь: C:\Windows\SoftwareDistribution

В эту папку скачиваются все обновления Windows перед установкой. Обычно она заполняется и очищается без вашего участия. Но иногда бывает так, что обновления системы зависают и перестают толком устанавливаться. В результате прогресс обновления стопорится, а SoftwareDistribution распухает до нескольких гигабайтов.

Нажмите комбинацию Win + X и щёлкните в появившемся меню пункт «Windows PowerShell (администратор)». Введите команды одну за другой, нажимая после каждой Enter:

net stop wuauserv

net stop cryptSvc

net stop bits

net stop msiserver

Эти команды остановят службу обновления, чтобы она не мешала удалить папку. Затем откройте SoftwareDistribution, сотрите её содержимое и снова выполните в PowerShell команды:

net start wuauserv

net start cryptSvc

net start bits

net start msiserver

После этого обновление перестанет зависать.

Источник