0%

Windows的日志与审计

Windows日记的位置和清除方法
系统版本皆为Win7+

日志位置

  1. 系统日志

    %SystemRoot%\System32\Winevt\Logs\System.evtx

  2. 应用程序日志

    %SystemRoot%\System32\Winevt\Logs\Application.evtx

  3. 安全日志

    %SystemRoot%\System32\Winevt\Logs\Security.evtx

  4. 所有日志地址都存在注册表里

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog

清除方法

  1. 手动清除

    打开eventvwr,选择日志,右键,清除日志

  2. 命令行清除

    1
    2
    PowerShell -Command "& {Clear-Eventlog -Log Application,System,Security}"
    Get-WinEvent -ListLog Application,Setup,Security -Force | % {Wevtutil.exe cl $_.Logname}