Журналы событий windows нужно ли чистить - Windowsa.top

Привет, друзья. В этой публикации поговорим о таком системном компоненте, как журнал событий Windows 10. Это часть классического функционала операционной системы, унаследованная от версий-предшественниц, оснастка консоли управления MMC. Журнал событий являет собой административную функцию, фиксирующую значимые события самой системы, установленных драйверов и программ. Что за события ведёт журнал, и как можно использовать его данные — давайте в этом разбираться ниже.

Журнал событий Windows 10

Итак, журнал событий Windows 10. Это системное средство, фиксирующее различные технические события операционной системы. Может быть полезно при решении разного рода проблем на компьютере – при произвольных выключениях или перезагрузках, частых зависаниях, появлении BSOD, проблемах с обновлениями, сбоях работы драйверов и т.п. Журнал событий входит в число средств администрирования операционной системы.

Находится в составе оснастки консоли MMC «Просмотр событий».

Эту оснастку можно запустить в меню по клавишам Win+X.

Либо с помощью системного поиска, введя в него запрос «просмотр…».

Одной из веток оснастки и есть журнал событий – ветка «Журналы Windows»

События в журнале сгруппированы по категориям, самые значимые из них:

«Система» — категория, содержащая события самой операционной системы;
«Приложение» — категория, содержащая события установленных в Windows 10 программ;
«Безопасность» — категория, содержащая события, связанные со входом пользователей в операционную систему, участием в защищённых локальных сетях, запуском брандмауэра, операциями шифрования и т.п.

Именно в этих категориях преимущественно нужно искать события, которые могут что-то нам рассказать о проблемах с компьютером.

У событий в журнале есть уровни, они же, по сути, типы событий:

Сведения — это информационные сообщения, фиксирующие запуски и остановки системных и программных служб, которые выполнены обычно, без каких-то проблем и сбоев;
Предупреждения — сообщения, фиксирующие системные и программные события, при выполнении которых возникли проблемы. Эти проблемы потенциально могут быть причинами сбоя Windows 10 и программ;
Ошибки — сообщения, фиксирующие события, при выполнении которых произошёл критический сбой программ и Windows 10, влекущий за собой потерю данных. Ошибки бывают обычные и критические. Критические – это те, что повлекли за собой сбой работы системы.

Каждое из событий имеет общее и подробное описание, по формулировкам из которых в случае с предупреждениями и ошибками мы можем дополнительно наюзать в Интернете информацию, что это за проблема, и что с ней делать.

Но, друзья, пересматривать все предупреждения и ошибки журнала, заморачиваться ими, что-то выяснять – всё это без надобности делать не нужно. Наличие в журнале огромного числа ошибок и предупреждений не значит, что с компьютером что-то не то. В работе Windows 10 происходит множество различных процессов, их работа иногда завершается нештатно, но эти процессы перезапускаются и потом нормально работают. Чем больше на компьютере используется различного ПО, тем больше будет разного типа событий. Обращаться к журналу событий Windows 10 нужно только тогда, когда у нас есть какая-то проблема – сбои работы драйверов, произвольное разлогинивание системы, зависания, произвольные перезагрузки или выключения компьютера, появление BSOD и т.п. В таких случаях журнал событий, возможно, поможет нам отыскать причину проблемы или как минимум даст направления, в которых нужно искать причину. Также журнал позволит отследить частоту и закономерность сбоев работы системы и программ, что может быть важно при определении причины проблемы.

События в журнале можно фильтровать по ключевым словам и сортировать по различным критериям, в частности, по уровню критичности, дате и времени фиксации события. Например, можем отсортировать события по дате и времени, чтобы отследить, какие события в конкретный день предшествовали внезапному сбою работы компьютера. Другой пример: дабы отследить все сбои, можем отсортировать сообщения по уровню ошибок в начале списка и посмотреть дату и время каждого сбоя.

В контекстном меню или на панели консоли справа есть опции событий, которые нам могут пригодиться в процессе их отслеживания:

«Свойства событий» — открывает событие в отдельном окошке для удобства просмотра;
«Копировать» — копирует сведения события как таблицу или как простой текст;
«Сохранить выбранные события» — сохраняет событие в отдельный файл.

Если вы столкнулись с какой-то проблемой и отследили все важные события журнала, после этого можно очистить его. Дабы в будущем, если снова столкнётесь с необходимостью отслеживания событий, в журнале был, так сказать, меньший фронт работы. Для очистки вызываем на каждой очищаемой категории контекстное меню и выбираем «Очистить журнал».

Источник

В Windows вы можете очистить журналы событий Event Viewer с помощью графической оснастки eventvwr.msc, из командной строки и с помощью PowerShell.

Содержание:

Очистка журнал событий из графической консоли Event Viewer
Удаление логов Windows из командной строки
Clear-EventLog: команда PowerShell для очистки журналов событий

Очистка журнал событий из графической консоли Event Viewer

Самый интуитивный способ очистки журналов событий Windows – воспользоваться графической консоль Event Viewer.

Запустите консоль
eventvwr.msc
;

Картинка с сайта: winitpro.ru
Щелкните правой кнопкой по журналу и выберите Clear Log;

Такой способ позволяет быстро удалить все события из одного конкретного журнала. Однако в Windows используется несколько сотен журналов для разных компонентов операционной системы и стороннего ПО.

По умолчанию Windows хранит журналы в файлах с расширением EVTX в каталоге
%SystemRoot%\System32\Winevt\Logs\
.

$Каталог System32\Winevt\Logs с EVTX логами WIndows$

Если вам нужно очистить их все – это будет утомительно вручную прощелкать все разделы Event Viewer и очистить каждый журнал. В этом случае для удаления событий лучше использовать PowerShell или командную строку.

Удаление логов Windows из командной строки

Для очистки журналов Windows из командной строки используется утилита wevtutil.exe.

Вывести список зарегистрированных в Windows журналов событий:

WevtUtil enum-logs

или короткий вариант:

WevtUtil el

Для удаления событий из одного конкретного журнала, скопируйте его имя и выполните команду:

WevtUtil cl Microsoft-Windows-GroupPolicy/Operational

Перед очисткой можно создать резервную копию событий в журнале в отдельный файл:

WevtUtil cl Microsoft-Windows-GroupPolicy/Operational /bu:GPOLOG_Bak.evtx

Можно очистить сразу все журналы событий из cmd.exe:

for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"

Для BAT файла нужно использовать немного другой синтаксис:

for /F "tokens=*" %%1 in ('wevtutil.exe el') DO wevtutil.exe cl "%%1"

Clear-EventLog: команда PowerShell для очистки журналов событий

В PowerShell для получения списка журналов событий Windows и их очистки можно использовать командлеты Get-WinEvent и Clear-EventLog.

Откройте консоль PowerShell с правами администратора, выведите список всех имен журналов в Windows и их настройки:

Get-WinEvent -ListLog *

get-winevent вывести список журналов event viewer в windows

Команда выведет максимальные размеры и параметры всех журналов событий Windows.

Чтобы удалить все события из двух журналов (например, журналов Security и System), выполните команду:

Clear-EventLog –LogName Security,System

При этом журнал очищается, и в него записывается событие с EventID 104 или 1102 с временем очистки, пользователем, выполнившим и описанием:

The System log file was cleared
The audit log was cleared.

Очистка журналов фиксируется событием EventId 104 с текстом «The System log file was cleared»

Для очистки административных и операционных журналов событий Windows, выполните такую однострочную команду PowerShell:

Get-WinEvent -ListLog * -Force | % { Wevtutil.exe cl $_.Logname }

Или:

wevtutil el | Foreach-Object {wevtutil cl "$_"}

Примечание. В нашем примере не удалось очистить 3 журнала из-за ошибки доступа. Попробуйте вручную очистить содержимое этих журналов из консоли Event Viewer.

Wevtutil полная очистка журналов событий Windows

Источник

В процессе работы Windows постоянно ведёт запись различных системных событий в файлы журналов, которые можно просмотреть с помощью утилиты «Просмотр событий». Сами по себе журналы не занимают много места на диске, но общее количество операций записи на продолжительном отрезке времени значительно и потенциально может влиять на общий ресурс дисков, особенно SSD. При желании, запись событий в журнал можно отключить.

В этой инструкции подробно о способах отключить журнал событий полностью или частично для отдельных событий, очистить его и дополнительная информация, которая может быть полезной.

Отключение службы «Журнал событий Windows»

Самый очевидный и простой способ отключить журнал событий — отключение соответствующей службы, однако у этого способа есть минусы:

От указанной службы зависят и другие службы, в частности могут возникнуть проблемы с работой планировщика заданий, службами сведений о подключенных сетях, списка сетей и автоматической настройки сетевых устройств.
Полное отключение журнала событий может быть не лучшим вариантом: собираемые в журналах сведения о сбоях могут быть полезными для диагностики проблем с работой системы.

Список зависимостей службы отличается в разных версиях Windows: в Windows 11 проблем после отключения службы «Журнал событий» вы вероятнее всего не заметите, а в Windows 10 они могут быть.

Для того, чтобы отключить службу «Журнал событий Windows» (чего я не рекомендую) вы можете использовать оснастку «Службы»:

Нажмите клавиши Win+R на клавиатуре, введите services.msc и нажмите Enter.
В списке служб найдите «Журнал событий Windows» и дважды нажмите по этой службе.

Картинка с сайта: remontka.pro
Нажмите кнопку «Остановить», измените тип запуска на «Отключена» и нажмите «Ок».

Картинка с сайта: remontka.pro

Ещё один способ — запустить командную строку от имени администратора и по порядку использовать следующие команды:

net stop eventlog
sc config eventlog start= disabled

Это полностью отключит ведение журнала событий, но, при возникновении проблем с работой других системных служб не забудьте, что, возможно, они были вызваны описанными действиями.

Отключение записи отдельных событий или выбранных журналов

Вместо отключения журнала событий полностью, вы можете отключить запись лишь отдельных событий — тех, которые записываются чаще всего, при этом не несут полезной информации для большинства пользователей.

Прежде всего — это события «Аудит успеха» в журнале «Безопасность». Для отключения записи этих событий в командной строке от имени администратора используйте одну из следующих команд (первая — для русскоязычной версии Windows, вторая — для англоязычной или переведенной на русский язык путем установки языкового пакета):

auditpol /set /subcategory:"Подключение платформы фильтрации" /success:disable /failure:enable
auditpol /set /subcategory:"Filtering Platform Connection" /success:disable /failure:enable

Указанные команды отключат запись событий типа «Успех», но оставят запись событий «Отказ». Аналогичным образом возможно отключение событий других подкатегорий, полный список подкатегорий можно получить с помощью команды auditpol /list /subcategory:*

Следующая возможность — отключение записи определенных событий по их GUID, шаги будут следующими (пример для журнала «Система»):

В просмотре событий (Win+R — eventvwr.msc) найдите событие, запись которых нужно отключить, на вкладке «Подробности» включите режим XML, здесь нам потребуется значение параметра GUID.

Картинка с сайта: remontka.pro
В редакторе реестра (Win+R — regedit) перейдите к разделу
```
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System
```
В этом разделе выберите подраздел с именем, совпадающим с GUID из первого шага, дважды нажмите по параметру с именем Enabled и установите значение 0 для него, повторите то же самое для параметра EnableProperty

Картинка с сайта: remontka.pro
Закройте редактор реестра и перезагрузите компьютер.

И ещё один метод для журналов приложений, на примере журнала WFP (который у многих пользователей постоянно пишется с большой интенсивностью):

В Просмотре событий откройте «Журналы приложений» и перейдите к нужному журналу, например: Microsoft — Windows — WFP — Operational
Нажмите правой кнопкой мыши по журналу и выберите пункт «Отключить журнал».

Картинка с сайта: remontka.pro

Отдельно по журналу wfpdiag.etl: ещё одна возможность отключения — команда

netsh wfp set options netevents = off

Очистка журнала событий

Файлы журналов событий располагаются в папках

C:\Windows\System32\winevt\Logs
C:\Windows\System32\LogFiles

И некоторых других расположениях, например — C:\ProgramData\Microsoft\Windows\wfp\

Очистка вручную путем удаления файлов нежелательна и не всегда удобна. Вы можете:

Использовать опцию «Очистить журнал» для соответствующего журнала в «Просмотре событий» в контекстном меню журнала или его свойствах.

Картинка с сайта: remontka.pro
Использовать одну из команд (первая — для командной строки, вторая — для PowerShell, в обоих случаях требуется запуск от имени администратора):
```
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }
```

Если остаются вопросы по журналам событий в Windows, задавайте их в комментариях — не исключено что я или кто-то из читателей сможет подсказать.

Источник

Отслеживание событий — основа безопасности систем

Когда на компьютере происходит какое-либо значимое событие, операционная система записывает это событие в журнал. Входом в журналы служит Event Viewer (eventvwr.exe). Большинство администраторов открывают Event Viewer, только когда пытаются решить какую-нибудь проблему, и многие знакомые администраторы говорят мне, что используют Event Viewer только на серверах. Оба подхода ошибочны, потому что периодическая проверка системных журналов часто позволяет выявлять неполадки на ранней стадии, до того как они превратятся в серьезную проблему. Уметь пользоваться Event Viewer очень важно, поэтому я хочу предложить читателям краткий обзор по этой теме и представить свои способы работы с Event Viewer.

Общие сведения

Event Viewer открывается через меню Administrative Tools (если это меню добавлено в Programs) или через приложение Administrative Tools панели управления. Консоль программы Event Viewer содержит список доступных журналов. На компьютерах Windows по умолчанию имеются следующие журналы:

Application (журнал приложе-ний) — содержит события, записываемые программами. Приложение определяет типы записываемых событий и язык сообщения.
Security (журнал безопасности) — содержит события, относящиеся к безопасности компьютера, такие как попытки регистрации в системе или манипуляции с файлами.
System (журнал системы) — содержит события, записываемые компонентами Windows.

В системах Windows Server 2003 и Windows 2000 Server в зависимости от роли сервера можно также использовать следующие журналы:

Directory Service — содержит события, имеющие отношение к Active Directory (AD), и доступен только на контроллерах домена (DC).
File Replication Service — содержит события, записываемые во время репликации между DC, и доступен только на DC.
DNS Server — содержит события, относящиеся к разрешению имен DNS, и доступен только на серверах DNS.

Event Viewer отображает типы событий, каждое из которых имеет собственный уровень важности и собственную пиктограмму в журнале. Например:

Error (ошибка) — сигнализирует об актуальной проблеме, которая может касаться потери функциональности, такой как нарушение корректного запуска служб и драйверов.
Warning (предупреждение) — указывает на проблему, которая впоследствии может стать серьезной, если не обращать внимания на предупреждение. Предупреждения сугубо информативны и не свидетельствуют о наличии проблемы в настоящем или обязательном ее появлении в будущем.
Success Audit (аудит успехов) — это событие, имеющее отношение к системе безопасности, которое произошло и записывается потому, что система или администратор включили аудит данного события.
Failure Audit (аудит отказов) — это событие, имеющее отношение к системе безопасности, которое не произошло, но запись о нем делается потому, что система или администратор включили аудит данного события.

Информация, отображаемая в Event Viewer, включает дату и время, когда произошло событие, источник события (то есть служба, драйвер устройства или приложение, записавшее событие в журнал), категорию события, ID события, имя пользователя, который был зарегистрирован в системе, когда событие произошло (не обязательно) и имя компьютера, на котором произошло событие. Для того чтобы просматривать журнал Security, необходимо иметь права администратора.

Настройка Event Viewer

Системные журналы начинают функционировать автоматически при запуске операционной системы. Размеры журнальных файлов ограничены, и система записывает события, удаляя старые записи в соответствии с выбором параметров журнала. Чтобы просмотреть или изменить конфигурацию, нужно щелкнуть правой кнопкой на имени журнала в списке Event Viewer и выбрать в раскрывающемся меню пункт Properties. Должно появиться соответствующее диалоговое окно свойств, как показано на экране 1.

Экран 1. Настройка размеров и режима перезаписи журнала System

Менять конфигурацию следует в зависимости от ситуации. Если вы не вносите существенных изменений в конфигурацию журнала или не видите необходимости в аудите событий, то работа настроек по умолчанию должна вас устроить. Настройка по умолчанию для максимального размера файла журнала составляет 512 Кбайт, и когда журнал заполнен, система автоматически заменяет старые записи новыми через 7 дней. Однако, если в систему вносятся существенные изменения или вводится в действие подробный аудит, журналы, скорее всего, начнут заполняться многочисленными записями. Если журнал оказывается заполненным и не содержит записей, хранящихся более 7 дней, утилите Event Viewer будет нечего удалить, чтобы освободить место для новых записей, и система прекратит записывать события. В этой ситуации нужно увеличить размер журнального файла или выполнить настройку журнала на затирание старых записей по мере необходимости (вариант Overwrite events — as needed).

Фильтры

Когда администратор исследует журнал, чтобы решить какую-либо проблему, или проверяет реакцию компьютера на существенное изменение конфигурации, он может ускорить этот процесс, избавившись от не имеющих отношения к делу записей в панели Details. Диалоговое окно Properties каждого журнала имеет вкладку Filter, с помощью которой выбираются типы отображаемых событий. Например, вы не хотите видеть информационные записи от определенных компьютеров или вы хотите видеть только события, произошедшие в течение недели после внесения системных изменений. Следует просто нужным образом выбрать фильтры (или отменить выбор). Помните, что фильтры влияют только на то, что отображается в окне; система продолжает записывать в журнал события тех типов, которые были отфильтрованы. Например, если есть основания полагать, что возникла угроза системе безопасности в виде вторжения извне, можно оставить для отображения события только тех типов, быстрый взгляд на которые позволяет обнаружить аномалии в регистрации, такие как события с ID 675 и 681, соответствующие неудачным попыткам аутентификации, или событие с ID 644, означающее блокировку учетной записи вследствие многократного некорректного ввода пароля.

Сортировка журнала

Погружаясь в решение какой-нибудь проблемы, я предпочитаю сортировать журналы, чтобы иметь возможность находить нужные записи непосредственно по типу события, идентификационному номеру (ID) события или по предполагаемому источнику сообщения. Например, я могла бы задаться целью найти событие Userenv, если проблема касается некоторого пользователя, имеющего проблемы с доступом в сети.

Общее событие Userenv имеет ID 1000 в журнале приложений и его описание гласит, что Windows не смогла определить имя пользователя или компьютера. Это означает, что конфигурация TCP/IP компьютера для обращения к DNS-серверу установлена некорректно. Администраторы сплошь и рядом используют неправильные адреса при настройке DNS на клиентских компьютерах; я часто нахожу IP-адрес шлюза в поле для адреса DNS. Проверку журнала компьютера-«обидчика» со своей рабочей станции обычно выполнить проще, чем идти к клиентскому компьютеру и проверять настройки TCP/IP.

Чтобы сосредоточиться на событиях конкретных типов, нужно выбрать подходящий журнал в консоли, раскрыть его содержимое, затем щелкнуть область заголовка столбца, по которому предстоит выполнить сортировку. По умолчанию журналы отсортированы по дате, а затем по времени.

Очистка журнала

Любой журнал можно очистить, чтобы освободить дополнительное место для записей. Если выбрана настройка Do not overwrite events (clear log manually) —«Не затирать события (очистка журнала вручную)», необходимо периодически чистить журнал.

Чтобы очистить журнал, следует щелкнуть правой кнопкой на названии журнала в списке консоли Event Viewer и выбрать пункт Clear all Events («Стереть все события»). Система спрашивает, нужно ли сохранить журнал перед тем, как очистить его. Если в журнале есть записи, которые могли бы пригодиться в будущем (например, при длительном отслеживании проблемы), можно выполнить архивацию содержимого журнала.

Архивация журнала

Любой журнал можно заархивировать как отдельный файл — это полезно, если в журнале появляются необычные записи и требуется понаблюдать некоторое время за изменением его содержимого. Иногда в журналах появляются события, которые выглядят угрожающе, но пользователь не ощущает никаких проблем. Если проблемы возникнут позже, сотрудникам службы поддержки Microsoft, возможно, будет полезно изучить историю этого события.

Чтобы создать архивную копию журнала, нужно щелкнуть правой кнопкой мыши по названию журнала в консоли и выбрать в меню Save Log File As («Сохранить файл журнала как…»). По умолчанию Windows сохраняет файл в папке Administrative Tools, расположенной в папке C:documentssettingsusernamestart menuprograms. Можно указать другую папку или создать отдельную папку для хранения архивных копий журналов. Я обычно присваиваю журналам имя в формате имя_журнала-дата (например, apps-dec012003). Windows добавляет расширение .evt.

Архивные копии журналов являются отдельными файлами на жестком диске, но открывать их можно только через программу просмотра событий Event Viewer. Для этого следует выбрать пункт Open Log File («Открыть файл журнала») в меню Action (или щелкнуть правой кнопкой по любому объекту в консоли и выбрать Open Log File). В диалоговом окне открытия файла требуется выбрать нужный архив, указать тип журнала (т. е. Application, Security) в меню со списком Log Type, затем щелкнуть Open.

Чтобы удалить архив из консоли, следует щелкнуть правой кнопкой по его названию в списке и выбрать Delete. Это действие не удаляет файл с жесткого диска — только из консоли. Удаление архивной копии журнала с жесткого диска выполняется так же, как и удаление любого другого файла.

Просмотр событий на удаленном компьютере

Чтобы облегчить себе задачу, администратор может со своей рабочей станции просматривать журналы удаленных компьютеров, на которых у него есть административные привилегии. На удаленном компьютере должна быть установлена Windows 2003, Windows XP, Windows 2000 Professional, Windows 2000 Server, Windows NT Server или NT Workstation.

На локальной консоли просмотра событий нужно щелкнуть правой кнопкой Event Viewer (Local) и выбрать Connect to another computer («Подключиться к другому компьютеру»). Следует ввести имя удаленного компьютера, с которым предстоит работать, или щелкнуть Browse, чтобы открыть диалоговое окно, показанное на экране 2, затем выбрать компьютер. Кроме того, если имя удаленного компьютера известно, нет необходимости вводить его в виде имени UNC. Вид консоли Event Viewer меняется таким образом, что отображает имя UNC удаленного компьютера. На удаленном компьютере можно производить те же действия, что и на локальном Event Viewer. Чтобы вернуться на локальный компьютер, следует щелкнуть правой кнопкой Event Viewer (имя компьютера), выбрать Connect to another computer, а затем Local computer.

Экран 2. Доступ к удаленному компьютеру из Event Viewer

Что искать при просмотре событий

Большинство реальных и потенциальных проблем проявляют себя посредством записи событий в тот или иной журнал. Когда вы видите запись с пометкой Error или Warning, будьте внимательны. Поищите информацию об этом событии в Microsoft Knowledge Base или на Web-сайте Windows & .NET Magazine. Если медлить с просмотром журналов, вы упустите возможность предотвратить проблему. Приведу пример. Во время периодических просмотров журналов на всех компьютерах своей сети я обнаруживаю запись в системном журнале, которая показана на экране 3. Никаких видимых признаков неполадок на компьютере не было.

Экран 3. Обнаружение надвигающегося сбоя в Event Viewer

Я быстро выполняю резервное копирование данных компьютера и запускаю программу Chkdsk, которая перемещает файлы (это были системные файлы) из испорченной области и помечает ее как испорченную, чтобы предотвратить дальнейшую запись в эту часть диска. Затем я начинаю ежедневно проверять системный журнал в течение нескольких недель и, только убедившись, что никаких новых сообщений об ошибках не появляется, возвращаюсь к еженедельному просмотру Event Viewer. Увидев дополнительные сообщения об ошибках, я бы заменила диск. Если бы я периодически не проверяла журналы компьютера, диск мог бы продолжать разваливаться и резервное копирование оказалось бы бесполезным из-за порчи файлов.

Кстати, когда я проверяю Event Viewer, я выполняю сортировку событий по типу и сначала просматриваю сообщения об ошибках, а затем предупреждения. В этот раз я также обнаружила предупреждение, датированное днем раньше, чем появилось сообщение об ошибке, и в этом предупреждении говорилось, что при записи в файл подкачки Windows обнаружила ошибку на диске. Если бы я проверила системный журнал днем раньше, я бы, возможно, нашла меньшее количество испорченных фрагментов для исправления программой Chkdsk.

Следует также просматривать все события в журнале безопасности. Этот журнал будет оставаться пустым до тех пор, пока вы не установите аудит событий безопасности. Если аудит событий безопасности установлен, ищите значительные события в зависимости от настроек аудита. Журнал безопасности — единственный журнал в Event Viewer, для просмотра которого необходимы административные полномочия. Более подробную информацию об аудите событий безопасности можно найти в статье «Мониторинг событий безопасности» (Windows & .NET Magazine/RE, №7 за 2003 год, и на Web-странице http://www.osp.ru/win2000/2003/07/019.htm).

Как остановить запись нежелательных событий

По умолчанию Windows настраивает компьютеры как принт-серверы, которые записывают все события, относящиеся к печати на принтерах. Кроме того, системный журнал компьютера делает информационные записи при каждой отправке документа на принтер и повторно — когда файл спулера удален после выполнения задания на печать.

Для меня события, относящиеся к печати на принтерах, не имеют значения, но некоторые администраторы хотят знать, были ли ошибки в работе с принтерами и если были, то когда; возможна также запись уведомлений, когда кто-то добавляет или удаляет принтер. Сомневаюсь, что администраторы убеждены в необходимости пополнять журнал уведомлений каждый раз, когда задание на печать отправляется спулеру, а потом удаляется.

Можно изменить выбор событий печати, записываемых в системный журнал, в папке Printers компьютера (в Windows 2003 и XP она называется Printers and Faxes). Выберите File, Server Properties и перейдите на вкладку Advanced, показанную на экране 4. Можно просто отменить выбор событий, которые вы не хотите регистрировать в журнале.

Экран 4. Выбор событий печати, записываемых в журнал System

Возьмите за правило

Поместите Event Viewer в свой список задач по обслуживанию и периодически проверяйте сетевые компьютеры. Если вы отвечаете за множество компьютеров, обеспечьте по крайней мере еженедельную проверку серверов (особенно контроллеров доменов), а рабочие станции следует проверять так, чтобы каждая рабочая станция попадала в поле зрения раз в несколько недель. Хотя на первый взгляд может показаться, что эта задача очень трудоемкая, устранение серьезной проблемы отнимает намного больше времени и сил, чем проверка журналов для получения дополнительной информации о текущих неполадках.

Кэти Ивенс (kivens@win2000mag.com) — редактор Windows & .NET Magazine. Является соавтором более 40 книг по компьютерной тематике, включая «Windows 2000: The Complete Reference»

Источник

Если вы видите это сообщение, значит, произошла проблема с загрузкой файлов в стилей (CSS) нашего сайта. Попробуйте сбросить кэш браузера (Ctrl+F5).
Если это не поможет, а вы находитесь в регионе, где возможны ограничения интернет-трафика с российских серверов — воспользуйтесь VPN.

В программе CCleaner есть пункт «Файлы журналов Windows». Они предлагаются к удалению.

Что будет, если удалить их?

Я удаляю их когда вижу, хотя они не мешают. А вот насчет программы CCleaner я не уверен что она удаляет временные файлы. Потому что она каждый день предлагает удалить и после удаления я сам еще нахожу кучу мусора. Мне кажется она просто делает вид что удаляет. Вот когда вручную удаляю, то потом временные файлы долго накапливаются.

А для журналов можно задать время и они будут автоматически удалятся в назначенное время. Хотя у них объем не так велик.

автор вопроса выбрал этот ответ лучшим

Словен
[68.6K]

9 лет назад

Если коротко, то эти файлы-отчёты по различным аспектам работы ОС. Информация в них нужна для самодиагностики, отправки данных мелкомягким и диагностики специалисту-компьютерщику. В общем удалить эти файлы можно без особых последствий.

землянин
[67.8K]

9 лет назад

Я думаю, что их можно и нужно удалять. В крайнем случае я постоянно их удаляю и никогда не замечал никаких последствий. А значит, что их удаление не сказывается на дальнейшей работе компьютера и установленных на нем программ.

марсений
[211]

9 лет назад

если в компьютере не щарищь не удоляй -обяснять извини заморочно почему-хоть я их удоляю-потому как предполагаю что это такое подчёркиваю незнаю

alexm12
[287K]

9 лет назад

Журналы в системе нужны для выявления сбоев. Пользователем. Если вы о них до сих пор не знали, то вам они не нужны. Удаляйте. Система все равно новые напишет.

Знаете ответ?

Источник