Как очистить журнал защиты windows 10

Как очистить журнал защиты в Windows 10

Традиционно записи журнала защиты удаляются через интерфейс оснастки «Просмотр событий». Это наиболее простой и очевидный для начинающих пользователей способ.

1. Откройте штатное приложение «Просмотр событий», для чего нажатием комбинации Win + R вызовите диалоговое окошко быстрого выполнения команд, введите в него eventvwr и нажмите клавишу Enter.
2. В левой колонке открывшегося окна журнала разверните ветку «Журналы приложений и служб» → «Microsoft» «Windows» → «Windows Defender».
3. Выделите вложенный элемент «Operational» и нажмите в правой колонке окна оснастки «Очистить журнал».
4. Подтвердите действие в появившемся диалоговом окне. Если вы хотите сохранить копию записей, выберите опцию «Сохранить и очистить», если бэкап не нужен, смело выбирайте «Очистить».

Резервную копию записей можно сохранить в форматах EVTX, CSV, XML и TXT.

Способ 2: «Проводник»

Записи журнала защиты в Windows 10 физически представлены набором файлов, хранящихся в одной из системных папок. Их удаление приведет к очистке этого раздела общего журнала событий.

Зайдите в «Параметры» папок и поиска и включите показ скрытых файлов, папок и дисков.

Способ 3: Автоматизация процедуры очистки

При желании вы можете автоматизировать процедуру очистки раздела журнала, в который встроенный антивирус сохраняет свои логи. По умолчанию «Защитник Windows» хранит свои записи 30 дней, вы же можете сократить этот период до одного дня.

Запустите от имени администратора «Windows PowerShell».

Цифра «1» в конце команды означает, что журнал защиты будет автоматически очищаться ежедневно. Соответственно, если передать в команде «2», Windows станет удалять логи через день.

Как удалить Журнал Защиты Безопасности Windows.

Защитник Windows ведет журнал заблокированных угроз. Вы можете просмотреть заблокированные элементы или обнаруженные угрозы в журнале защиты. Элементы, перечисленные там, будут оставаться в журнале, даже если они были помечены для удаления или помещены в карантин. Это вызывает нежелательный эффект: значок Защитника Windows на панели задач будет отображаться с красной отметкой или желтым восклицательным знаком. Чтобы избавиться от предупреждающих знаков, нужно очистить журнал защиты.

В Windows 10 и Windows 11 невозможно очистить историю журнала защитника используя интерфейс «Безопасность Windows», кнопка «Очистить журнал» отсутствует, информация обнаружения вредоносных программ или ложных срабатываний хранится в журнале.

Защитник Windows хранит историю обнаруженных угроз в течение 30 дней, однако этот период может быть сокращен или продлен. Если журнал показывает угрозы, которые старше тридцати дней, вы можете изменить срок хранения или просто удалить все. Мы подробно рассмотрим оба способа, и вам решать, что вам больше подходит.

Как удалить, очистить «Журнал Защиты» Безопасности Windows

Если вам не хочется ждать, пока журнал защитника Windows 11, 10 будет очищен автоматически через 30 дней, вы можете удалить все записи вручную. Для этого вам понадобятся права администратора.

Шаг 1: Откройте проводник.

Шаг 2: Перейдите в следующую папку.

Шаг 2: Здесь вы найдете папку под названием «Service». Удалите ее, или ее содержимое.

Откройте Защитник Windows, и история защиты будет очищена. Значок на панели задач Защитника Windows больше не будет иметь желтый или красный знак.

Как изменить срок хранения «Журнала Защиты» и очистить его – с помощью Powershell.

Чтобы изменить срок хранения элемента в журнале службы «Безопасность Windows», выполните следующие действия.

Шаг 1: Откройте Powershell от имени администратора (см. как).

Шаг 2: Введите или скопируйте и вставьте командлет который, получает настройки для сканирования и обновлений Защитника Windows:

Чтобы изменить время очистки журнала, используйте связанный элемент — «ScanPurgeItemsAfterDelay» по умолчанию имеет значение 15 (то есть 15 дней).

Шаг 3: Чтобы изменить его, введите в нужное количество дней хранения журнала:

Где Х это количество дней, после которого журнал будет удален, в моем случае — 3 дня. Теперь журнал защитника Windows будет хранится всего три дня, после чего будет автоматически очищен.

Как можно почистить журнал защиты в ОС Виндовс 10, 3 способа удаления угроз

Windows 10 является последней обновленной версией из серии операционных систем от корпорации Microsoft. ОС поддерживает встроенную подсистему Linux. Это позволяет работать с широким арсеналом файлов разных форматов. Windows сборка NT 10.0 (2015-2019) отличается от предыдущих версий функциональностью и дополнительными возможностями. Например, в ней присутствует специальный блок – «Журнал ошибок», в котором записываются ошибки и исправления, наблюдаемые при работе программ. Компьютер анализирует и устраняет (исправляет) возникшие проблемы и сохраняет запись о причине сбоя в этом ресурсе. Это важная утилита является частью встроенного в ОС средства «Просмотр событий».

Что такое средства просмотра событий в Windows

Системный журнал Windows 10 используется для просмотра разной информации о работе приложений и других важных действиях, совершенных в процессе работы компьютера. Здесь отображаются данные о неполадках, возникших в ОС или сторонних программах.

Логотип компании Microsoft Windows

В консоли выделяются 4 вида событий:

• ошибка;
• сведения;
• критические события;
• предупреждения.

При каждом сбое появляется новая запись, чтобы в дальнейшем пользователь смог проверить его причину.

Где находится журнал событий Windows

Журнал событий Windows 7 — как открыть лог

Запускать журнал Windows 10 можно разными методами. В основном используются системные инструменты, либо же его открывают ручным способом при помощи файла программы на диске.

Способ 1. Диалоговое Окно «Выполнить»

В журнал событий на Windows 10 можно зайти через диалоговое окно «Выполнить». Комбинация клавиш WIN + R позволяет открыть командную строку, или для запуска утилиты используется меню Пуск. На соответствующей вкладке вводится команда: «eventvwr.msc». Когда действия подтверждены кнопкой «ОК», открывается журнал событий.

Диалоговое окно «Выполнить»

Способ 2. Активировать командной строкой в пункте «Справка»

Чтобы открыть журнал действий Windows 10 через раздел Справки, на рабочем столе (пустое окно) нажимают кнопку F1. Через открывшееся окно переходят в раздел «Указатель», в строке поиска вписывают «Журнал событий» и нажимают «Показать». Служба поможет перейти в журнал через информационное окно.

Важно! При переходе через раздел «Справка и поддержка» пользователь должен самостоятельно выбрать соответствующую вкладку в дополнительном окне, потому что там отображается полная информация о компонентах OS.

Раздел «Справка»

Способ 3. Использование панели управления ОС

Через основную панель можно открывать разные утилиты, необходимые для настройки и управления функционалом программного обеспечения. Переход на панель управления осуществляется как через меню Пуск, так и при помощи диалогового окна «Выполнить» (WIN+R). В командной строке нужно указать слово «control» и нажать «ОК» для подтверждения команды.

На появившейся вкладке требуется найти раздел «Администрирование». Далее на экране отобразится список, где находится журнал приложений Windows 10. Там можно просмотреть записанные события, касающиеся работы программ.

Открытие журнала на панели «Администрирование»

Способ 4. Журнал событий Windows 10 – как открыть через PowerShell

В поле Поиска в Виндовс вводится слово PowerShell. В списке результатов выбирается соответствующая команда. Дальше нужно указать команду Get-WindowsUpdateLog и нажать на кнопку Enter. Когда появится уведомление «Команда выполнена успешно», запущенный раздел откроется.

Важно! Созданный на рабочем столе файл просматривается программой «Блокнот» (открыть с помощью – выбор программы вручную – Блокнот).

Способ 5. Поиск по Windows

Операционная система поддерживает функцию поиска для быстрого запуска приложений. На панели задач имеется иконка для активации поисковой службы Windows. Запуск утилиты происходит при помощи одновременного нажатия кнопок WIN + S.

На открывшейся строке нужно ввести Просмотр событий. Дальше в окне результатов следует найти журнал и запустить его.

Как открыть

Для запуска нажмите «Win+R», пропишите «control».

Далее:

Другой способ

Нажмите (Win+R), пропишите «eventvwr.msc».

Откроется окно утилиты. Слева расположены журналы:

• приложений;
• служб;
• подписки.

Средняя колонка отображает события. Правая — действия. Ниже — сведения о выбранной записи.

Работа происходит с разделом «Журналы», в который входят такие категории:

1. Система. Содержит действия, которые созданы драйверами и модулями ОС;
2. Установка;
3. Безопасность. Информация о входе в аккаунты, учетные записи, доступ к файлам, установки процессов;
4. Приложение. Информация про ошибки, созданные установленным софтом. Используются чтобы найти причину неработоспособности приложений;
5. Перенаправление.

Событий в системе исчисляется десятками тысяч. Поэтому утилита для удобства предоставляет поиск по времени, коду источнику. Например, как увидеть системные ошибки? Нажмите по ссылке «Фильтр».

Отметьте пункты как на скриншоте:

Утилита отфильтрует записи.

Просмотрите сообщение:

Как создать ярлык для быстрого запуска журнала

Если приходится часто обращаться к системному журналу событий, то лучше всего создать ярлык на рабочем столе. Чтобы выполнить эту задачу:

1. необходимо перейти на «Панель управления» Windows (меню «Пуск», поиск F3 или окно «Выполнить»);
2. на панели задач открыть вкладку «Администрирование»;
3. в открывшемся окне одним кликом мыши о;
4. нажатием правой кнопки мышки запустить контекстное меню;
5. выбрать вариант «Отправить»;
6. в появившемся дополнительном меню выбрать команду – создать ярлык на Рабочий стол.

Брандмауэр Windows 7: как открыть, настроить, отключить

После совершения этих операций на рабочем столе появится ярлык для быстрого запуска соответствующего приложения. Двойным нажатием ЛКМ на созданном ярлыке его можно быстро открыть.

На заметку! Чтобы решить вопрос, как быстро открыть журнал на Виндовс 10, нужно создать постоянный доступ к нему на десктопе

Создание ярлыка на Рабочем столе

«Журнал ошибок» в Виндовс 10

Упомянутый ранее журнал является лишь небольшой частью системной утилиты «Просмотр событий», которая по умолчанию присутствует в каждой версии Windows 10. Далее мы разберем три важных аспекта, которые касаются «Журнала ошибок» — включение логирования, запуск средства «Просмотр событий» и анализ системных сообщений.

Включение логирования

Для того чтобы система могла записывать все события в журнал, необходимо включить его. Для этого выполните следующие действия:

1. Нажмите в любом пустом месте «Панели задач» правой кнопкой мышки. Из контекстного меню выберите пункт «Диспетчер задач».

В открывшемся окне перейдите во вкладку «Службы», а затем на самой странице в самом низу нажмите кнопку «Открыть службы».

Далее в перечне служб нужно найти «Журнал событий Windows». Убедитесь, что она запущена и работает в автоматическом режиме. Об этом должны свидетельствовать надписи в графах «Состояние» и «Тип запуска».

После этого остается проверить, активирован ли на компьютере файл подкачки. Дело в том, что при его выключении система попросту не сможет вести учет всех событий. Поэтому очень важно установить значение виртуальной памяти хотя бы 200 Мб. Об этом напоминает сама Windows 10 в сообщении, которое возникает при полной деактивации файла подкачки.

О том, как задействовать виртуальную память и изменить ее размер, мы уже писали ранее в отдельной статье. Ознакомьтесь с ней при необходимости.

Просмотр журнала событий на удалённом компьютере

Для просмотра событий на Windows 10 есть приложение Event Viewer, которое встроено в систему. Данная утилита и компоненты командного меню Wevtutil позволяют управлять журналом на удаленном ПК.

Как открыть Msconfig Windows 7 — настройка дополнительных параметров

Удаленное управление включается из самого раздела «Просмотр событий». Запускается дерево консоли с выбором корневого элемента: Просмотр событий – локальные. В разделе «Действия» указывают команду «Подключиться к другому ПК». В соответствующем поле вводится название или IP-адрес компьютера для удаленного подключения.

Дополнительная информация. Дальше перед надписью «Подключиться в качестве другого пользователя» нужно поставить галочку. После открытия нового окна при помощи заполнения соответствующих полей задаются имя пользователя и пароль. Выполненные действия необходимо подтвердить клавишей «ОК».

Wevtutil запускается вводом команды cmd в поле поиска. В командной строке указывается wevtutil/r:. Если требуется подключение в качестве другого пользователя, то вписывается команда: wevtutil/r:/u:/p:.

Важно! Чтобы получить удаленный доступ к журналу событий, на брандмауэре другого компьютера должно быть установлено исключение на безопасность доступа типа «Удаленное управление журналом событий». Иначе брандмауэр заблокирует путь.

Активацию функции «Просмотр событий» с удаленным подключением к другому ПК можно выполнить при помощи подтверждения команды: eventvwr.

Таким образом просматривают настраиваемые модули, ссылки и остальные ресурсы на локальном ПК.

Что значат записи лога разных типов

На Windows 10 сохраняется значительное количество логов, которые могут быть полезны для специалистов IT, программистов и технической поддержки. Это позволяет им устранять неполадки и сбои в работе программ.

Отображение записей в журнале ошибок

В блоке производится запись логов по 4 критериям:

• Отображение критических событий позволяет решать проблему при помощи приведенной информации. Например, критическая ошибка возникла из-за неправильного выключения ПК. Значит для устранения этой проблемы достаточно правильно отключать компьютер.
• Узнать причину ошибок в журнале можно кликом по ЛКМ над записью. Ошибки отображаются с кодом события. Если по отображенным данным не удалось понять причину, то задается поиск в интернете с указанием кода.
• Сведения появляются тогда, когда в ПК инсталлировали или обновляли приложения. В уведомлении присутствуют данные о ресурсах восстановления системы в случае необходимости.
• Предупреждения фиксируются при неудачной попытке программ подключиться к серверу DNS. Эти сообщения необходимо игнорировать. Но при регулярном отображении предупреждающего сигнала рекомендуется узнать причину через события в журнале.

Запись производится при возникновении таких фактов, как:

• перезагрузка компьютера;
• восстановление;
• синий экран.

Нюансы работы в журнале событий

Число обозреваемых событий может исчисляться тысячами и даже десятками тысяч. Для создания комфортных условий работы журнал событий в Windows 10 оснащен встроенным фильтром. Он позволяет отсортировать имеющуюся информацию по:

• важности;
• времени;
• источнику;
• имени компьютера и пользователя;
• коду и прочим параметрам.

Но найти в журнале необходимую ошибку это полбеды. Специфичность содержащихся сведений не каждому позволит сходу понять в чём проблема. Например, пользователь может увидеть нечто вроде:

Регистрация сервера DCOM не выполнена за отведенное время ожидания

Поиск описания потребует выхода в интернет и посещения сайта Microsoft. Или иных ресурсов, предоставляющих подобную информацию.

Стоит упомянуть, что наличие ошибок – нормальное явление ОС. Любые, даже самые незначительные сбои вносятся в реестр. Так что не стоит переживать, обнаружив их в журнале.

Очистка, удаление и отключение журнала

Утилитой для записи событий в ПК можно управлять при помощи системных опций и настроек. Ее следует отключать, удалять или очищать для освобождения места в памяти.

Пользователь может задать параметры для регулярной очистки в течение определенного времени. Также историю в функционале можно удалить ручным способом.

На заметку! Если вовремя не очистить журнал, он переполняется, занимая память устройства. В результате этого загрузка системы при запуске ПК не происходит. Вот почему, пользователи часто ищут ответ на вопрос, как отключить журнал действий на Windows-10.

Способы очистки журнала

Есть несколько способов, позволяющих очистить журнал событий:

1. Вход в систему командной строкой осуществляется правами Администратора. Затем вводится команда: for/F»tokens=*»%1 in (‘wevtutil.exe el’) DOwevtutil.exe cl «%1». Нажатие клавиши Enter подтверждает действия пользователя. После завершения процедуры вкладку закрывают. Систему желательно перезагрузить заново.
2. PowerShell помогает удалять записи. Открывается утилита системной службой поиска. В поисковом поле вписывается надпись «powershell», и из появившегося списка запускают функционал. Ввод команды Get-EventLog -LogName* | ForEach < Clear-EventLog $_.Log>в соответствующем разделе позволяет удалить данные.
3. Записи удаляют при помощи открытия утилиты «Просмотр событий». Вначале правой кнопкой мыши открывается контекстное меню. Там есть опция «Очистить журнал». Удалять данные с сохранением копии можно после выбора команды «Очистить и сохранить». Очистка успешно запускается как в полном, так и в выборочном варианте.
4. В каждом журнале доступна панель «Действия», в ней есть функция «Фильтровать текущий журнал». Запуск фильтра позволяет удалять ненужную информацию.

Важно! Фильтрация работает в автоматическом режиме. Поэтому лучше установить таймер на определенный срок, и система самостоятельно выполнит очистку в нужное время.

Как отключить журнал событий

В командной строке окна «Выполнить» указывают: services.msc и нажимают на Enter (мышью «ОК»). В отображаемом списке находят надпись «Журнал». В контекстном меню активируют команду «Отключить».

В разделе «Администрирование» есть пункт «Службы». После его открытия появляется список запущенных служб. Там следует найти нужную функцию и нажать мышкой. Затем в появившемся окне выбрать раздел «Общие». В строке с надписью «Тип запуска» выбирают команду «Отключено».

На заметку! Чтобы изменения вступили в силу, ПК необходимо перезагрузить. Утилита функционирует в фоновом режиме, поэтому не влияет на работу ОС.

Удаление журнала событий

Удалять системный журнал необязательно, достаточно фильтровать или очищать его время от времени. Но, если все-таки требуется ликвидировать этот пункт, то более безопасный способ – это использование команды PowerShell Remove-EventLog. Таким методом журнал стирается с локального или удаленного компьютера.

Важно! Для полного удаления в строке команд указывают лог: Remove-EventLog -LogName «MyLog».

Журнал событий – важный функционал ОС на Windows 10. Благодаря ему в системе сохраняются записи об ошибках в работе разных программ. Там же содержится информация о причинах этих ошибок. Изучение способов открытия журнала и возможностей для удаления из него ненужной информации поможет быстро устранять серьезные ошибки в работе ПК.

Windows 10: как отключить шкалу активности в реестре

В качестве альтернативы Вы можете деактивировать временную шкалу через реестр Windows:

1. Нажмите Win + R и введите regedit. Подтвердите действие нажатием на ОК.
2. В отобразившемся окне перейдите в раздел Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System.
3. В правой части окна дважды щелкните запись EnableActivityFeed и введите значение «0».
4. Если запись не существует, придется сначала ее создать. Для этого щелкните правой кнопкой мыши по пустому пространству и выберите Создать, а затем Параметр DWORD (32-бит) или Параметр DWORD (64-бит) в зависимости от типа вашей Windows (32-bit или 64-bit). Назовите его «EnableActivityFeed» и задайте значение «0».
5. Перезагрузите Windows. Временная шкала будет полностью удалена.

Отключение Timeline в реестре Windows 10

Как можно почистить журнал защиты в ОС Виндовс 10, 3 способа удаления угроз

Далее:

Другой способ

Нажмите (Win+R), пропишите «eventvwr.msc».

Откроется окно утилиты. Слева расположены журналы:

• приложений;
• служб;
• подписки.

Средняя колонка отображает события. Правая — действия. Ниже — сведения о выбранной записи.

Работа происходит с разделом «Журналы», в который входят такие категории:

1. Система. Содержит действия, которые созданы драйверами и модулями ОС;
2. Установка;
3. Безопасность. Информация о входе в аккаунты, учетные записи, доступ к файлам, установки процессов;
4. Приложение. Информация про ошибки, созданные установленным софтом. Используются чтобы найти причину неработоспособности приложений;
5. Перенаправление.

Событий в системе исчисляется десятками тысяч. Поэтому утилита для удобства предоставляет поиск по времени, коду источнику. Например, как увидеть системные ошибки? Нажмите по ссылке «Фильтр».

Отметьте пункты как на скриншоте:

Утилита отфильтрует записи.

Просмотрите сообщение:

Очистка списка USB-накопителей

На некоторых режимных объектах к компьютеру разрешено подключать только флешки, зарегистрированные в журнале. Причем, как водится, журнал самый что ни на есть обычный — бумажный. То есть сам компьютер никак не ограничивает подключение незарегистрированных накопителей. Не ограничивает, зато протоколирует! И если при проверке обнаружат, что пользователь подключал незарегистрированные накопители, у него будут проблемы.

Мы ни в коем случае не советуем тебе пытаться украсть военные секреты, но умение очищать список недавно подключавшихся накопителей может пригодиться и в других жизненных ситуациях. Чтобы сделать это, загляни в следующие разделы реестра:

Вот они — все накопители, которые ты подключал к своему компу.

Раздел реестра с историей подключения накопителей

Казалось бы, нужно просто взять и все почистить. Но не тут-то было! Во-первых, разрешения на эти ветки реестра установлены таким образом, что ты ничего не удалишь даже в «семерке», не говоря уже о «десятке».

Во-вторых, назначать права и разрешения вручную долго, особенно если накопителей много. В-третьих, права админа не помогут. Скриншот выше был создан, когда я выполнял операцию удаления как раз с правами админа. В-четвертых, кроме этих двух разделов, нужно почистить еще длинный список разделов. Причем их нужно не просто удалять, а грамотно редактировать.

Если тебе по каким-то причинам понадобится сделать все вручную, то ищи по ключевым словам MountPoints, MountedDevices DeviceClasses и RemovableMedia. Но куда проще использовать готовую программу, которая сделает все за тебя. На некоторых форумах для этого рекомендуют USBDeview. Однако я ее протестировал и заявляю, что она вычищает информацию далеко не из всех нужных разделов. USBSTOR и USB продолжают содержать информацию о подключавшихся носителях.

Могу порекомендовать программу USB Oblivion. Запусти ее, поставь галочку «Произвести реальную очистку». Параметр «Сохранить .reg-файл отмены» можешь включить или нет, но если цель не проверить программу, а подготовиться к грядущей инспекции компьютера, то лучше выключить.

USB Oblivion

Программа не только чистит реестр, но и выводит подробный лог своих действий (см. ниже). Когда она завершит работу, не останется никаких упоминаний о подключении накопителей к компьютеру.

• Как посмотреть журнал ошибок в Windows 10?

USB Oblivion в действии

Как работать

Пока ПК работает без сбоев Журнал событий в Windows 10 не нужен. Используется при появлении проблем с ПК: перезагрузка, Синий экран. Журнал в (Windows) 10 информирует о причинах сбоев. Выберите ошибку. Посмотрите информацию о нее. Например: «Активация для приложения COM-сервера с CLSID ».

Скопируйте ее, посмотрите информацию в интернет. В этом примере ошибка говорит о необходимости обновления.

Активное использование системных журналов

Отслеживание событий — основа безопасности систем

Когда на компьютере происходит какое-либо значимое событие, операционная система записывает это событие в журнал. Входом в журналы служит Event Viewer (eventvwr.exe). Большинство администраторов открывают Event Viewer, только когда пытаются решить какую-нибудь проблему, и многие знакомые администраторы говорят мне, что используют Event Viewer только на серверах. Оба подхода ошибочны, потому что периодическая проверка системных журналов часто позволяет выявлять неполадки на ранней стадии, до того как они превратятся в серьезную проблему. Уметь пользоваться Event Viewer очень важно, поэтому я хочу предложить читателям краткий обзор по этой теме и представить свои способы работы с Event Viewer.

Общие сведения

Event Viewer открывается через меню Administrative Tools (если это меню добавлено в Programs) или через приложение Administrative Tools панели управления. Консоль программы Event Viewer содержит список доступных журналов. На компьютерах Windows по умолчанию имеются следующие журналы:

• Application (журнал приложе-ний) — содержит события, записываемые программами. Приложение определяет типы записываемых событий и язык сообщения.
• Security (журнал безопасности) — содержит события, относящиеся к безопасности компьютера, такие как попытки регистрации в системе или манипуляции с файлами.
• System (журнал системы) — содержит события, записываемые компонентами Windows.

В системах Windows Server 2003 и Windows 2000 Server в зависимости от роли сервера можно также использовать следующие журналы:

• Directory Service — содержит события, имеющие отношение к Active Directory (AD), и доступен только на контроллерах домена (DC).
• File Replication Service — содержит события, записываемые во время репликации между DC, и доступен только на DC.
• DNS Server — содержит события, относящиеся к разрешению имен DNS, и доступен только на серверах DNS.

Event Viewer отображает типы событий, каждое из которых имеет собственный уровень важности и собственную пиктограмму в журнале. Например:

• Error (ошибка) — сигнализирует об актуальной проблеме, которая может касаться потери функциональности, такой как нарушение корректного запуска служб и драйверов.
• Warning (предупреждение) — указывает на проблему, которая впоследствии может стать серьезной, если не обращать внимания на предупреждение. Предупреждения сугубо информативны и не свидетельствуют о наличии проблемы в настоящем или обязательном ее появлении в будущем.
• Success Audit (аудит успехов) — это событие, имеющее отношение к системе безопасности, которое произошло и записывается потому, что система или администратор включили аудит данного события.
• Failure Audit (аудит отказов) — это событие, имеющее отношение к системе безопасности, которое не произошло, но запись о нем делается потому, что система или администратор включили аудит данного события.

Информация, отображаемая в Event Viewer, включает дату и время, когда произошло событие, источник события (то есть служба, драйвер устройства или приложение, записавшее событие в журнал), категорию события, ID события, имя пользователя, который был зарегистрирован в системе, когда событие произошло (не обязательно) и имя компьютера, на котором произошло событие. Для того чтобы просматривать журнал Security, необходимо иметь права администратора.

Настройка Event Viewer

Системные журналы начинают функционировать автоматически при запуске операционной системы. Размеры журнальных файлов ограничены, и система записывает события, удаляя старые записи в соответствии с выбором параметров журнала. Чтобы просмотреть или изменить конфигурацию, нужно щелкнуть правой кнопкой на имени журнала в списке Event Viewer и выбрать в раскрывающемся меню пункт Properties. Должно появиться соответствующее диалоговое окно свойств, как показано на экране 1.

Менять конфигурацию следует в зависимости от ситуации. Если вы не вносите существенных изменений в конфигурацию журнала или не видите необходимости в аудите событий, то работа настроек по умолчанию должна вас устроить. Настройка по умолчанию для максимального размера файла журнала составляет 512 Кбайт, и когда журнал заполнен, система автоматически заменяет старые записи новыми через 7 дней. Однако, если в систему вносятся существенные изменения или вводится в действие подробный аудит, журналы, скорее всего, начнут заполняться многочисленными записями. Если журнал оказывается заполненным и не содержит записей, хранящихся более 7 дней, утилите Event Viewer будет нечего удалить, чтобы освободить место для новых записей, и система прекратит записывать события. В этой ситуации нужно увеличить размер журнального файла или выполнить настройку журнала на затирание старых записей по мере необходимости (вариант Overwrite events — as needed).

Фильтры

Когда администратор исследует журнал, чтобы решить какую-либо проблему, или проверяет реакцию компьютера на существенное изменение конфигурации, он может ускорить этот процесс, избавившись от не имеющих отношения к делу записей в панели Details. Диалоговое окно Properties каждого журнала имеет вкладку Filter, с помощью которой выбираются типы отображаемых событий. Например, вы не хотите видеть информационные записи от определенных компьютеров или вы хотите видеть только события, произошедшие в течение недели после внесения системных изменений. Следует просто нужным образом выбрать фильтры (или отменить выбор). Помните, что фильтры влияют только на то, что отображается в окне; система продолжает записывать в журнал события тех типов, которые были отфильтрованы. Например, если есть основания полагать, что возникла угроза системе безопасности в виде вторжения извне, можно оставить для отображения события только тех типов, быстрый взгляд на которые позволяет обнаружить аномалии в регистрации, такие как события с ID 675 и 681, соответствующие неудачным попыткам аутентификации, или событие с ID 644, означающее блокировку учетной записи вследствие многократного некорректного ввода пароля.

Сортировка журнала

Погружаясь в решение какой-нибудь проблемы, я предпочитаю сортировать журналы, чтобы иметь возможность находить нужные записи непосредственно по типу события, идентификационному номеру (ID) события или по предполагаемому источнику сообщения. Например, я могла бы задаться целью найти событие Userenv, если проблема касается некоторого пользователя, имеющего проблемы с доступом в сети.

Общее событие Userenv имеет ID 1000 в журнале приложений и его описание гласит, что Windows не смогла определить имя пользователя или компьютера. Это означает, что конфигурация TCP/IP компьютера для обращения к DNS-серверу установлена некорректно. Администраторы сплошь и рядом используют неправильные адреса при настройке DNS на клиентских компьютерах; я часто нахожу IP-адрес шлюза в поле для адреса DNS. Проверку журнала компьютера-«обидчика» со своей рабочей станции обычно выполнить проще, чем идти к клиентскому компьютеру и проверять настройки TCP/IP.

Чтобы сосредоточиться на событиях конкретных типов, нужно выбрать подходящий журнал в консоли, раскрыть его содержимое, затем щелкнуть область заголовка столбца, по которому предстоит выполнить сортировку. По умолчанию журналы отсортированы по дате, а затем по времени.

Очистка журнала

Любой журнал можно очистить, чтобы освободить дополнительное место для записей. Если выбрана настройка Do not overwrite events (clear log manually) —«Не затирать события (очистка журнала вручную)», необходимо периодически чистить журнал.

Чтобы очистить журнал, следует щелкнуть правой кнопкой на названии журнала в списке консоли Event Viewer и выбрать пункт Clear all Events («Стереть все события»). Система спрашивает, нужно ли сохранить журнал перед тем, как очистить его. Если в журнале есть записи, которые могли бы пригодиться в будущем (например, при длительном отслеживании проблемы), можно выполнить архивацию содержимого журнала.

Архивация журнала

Любой журнал можно заархивировать как отдельный файл — это полезно, если в журнале появляются необычные записи и требуется понаблюдать некоторое время за изменением его содержимого. Иногда в журналах появляются события, которые выглядят угрожающе, но пользователь не ощущает никаких проблем. Если проблемы возникнут позже, сотрудникам службы поддержки Microsoft, возможно, будет полезно изучить историю этого события.

Чтобы создать архивную копию журнала, нужно щелкнуть правой кнопкой мыши по названию журнала в консоли и выбрать в меню Save Log File As («Сохранить файл журнала как…»). По умолчанию Windows сохраняет файл в папке Administrative Tools, расположенной в папке C:documentssettingsusernamestart menuprograms. Можно указать другую папку или создать отдельную папку для хранения архивных копий журналов. Я обычно присваиваю журналам имя в формате имя_журнала-дата (например, apps-dec012003). Windows добавляет расширение .evt.

Архивные копии журналов являются отдельными файлами на жестком диске, но открывать их можно только через программу просмотра событий Event Viewer. Для этого следует выбрать пункт Open Log File («Открыть файл журнала») в меню Action (или щелкнуть правой кнопкой по любому объекту в консоли и выбрать Open Log File). В диалоговом окне открытия файла требуется выбрать нужный архив, указать тип журнала (т. е. Application, Security) в меню со списком Log Type, затем щелкнуть Open.

Чтобы удалить архив из консоли, следует щелкнуть правой кнопкой по его названию в списке и выбрать Delete. Это действие не удаляет файл с жесткого диска — только из консоли. Удаление архивной копии журнала с жесткого диска выполняется так же, как и удаление любого другого файла.

Просмотр событий на удаленном компьютере

Чтобы облегчить себе задачу, администратор может со своей рабочей станции просматривать журналы удаленных компьютеров, на которых у него есть административные привилегии. На удаленном компьютере должна быть установлена Windows 2003, Windows XP, Windows 2000 Professional, Windows 2000 Server, Windows NT Server или NT Workstation.

На локальной консоли просмотра событий нужно щелкнуть правой кнопкой Event Viewer (Local) и выбрать Connect to another computer («Подключиться к другому компьютеру»). Следует ввести имя удаленного компьютера, с которым предстоит работать, или щелкнуть Browse, чтобы открыть диалоговое окно, показанное на экране 2, затем выбрать компьютер. Кроме того, если имя удаленного компьютера известно, нет необходимости вводить его в виде имени UNC. Вид консоли Event Viewer меняется таким образом, что отображает имя UNC удаленного компьютера. На удаленном компьютере можно производить те же действия, что и на локальном Event Viewer. Чтобы вернуться на локальный компьютер, следует щелкнуть правой кнопкой Event Viewer (имя компьютера), выбрать Connect to another computer, а затем Local computer.

Что искать при просмотре событий

Большинство реальных и потенциальных проблем проявляют себя посредством записи событий в тот или иной журнал. Когда вы видите запись с пометкой Error или Warning, будьте внимательны. Поищите информацию об этом событии в Microsoft Knowledge Base или на Web-сайте Windows & .NET Magazine. Если медлить с просмотром журналов, вы упустите возможность предотвратить проблему. Приведу пример. Во время периодических просмотров журналов на всех компьютерах своей сети я обнаруживаю запись в системном журнале, которая показана на экране 3. Никаких видимых признаков неполадок на компьютере не было.

Я быстро выполняю резервное копирование данных компьютера и запускаю программу Chkdsk, которая перемещает файлы (это были системные файлы) из испорченной области и помечает ее как испорченную, чтобы предотвратить дальнейшую запись в эту часть диска. Затем я начинаю ежедневно проверять системный журнал в течение нескольких недель и, только убедившись, что никаких новых сообщений об ошибках не появляется, возвращаюсь к еженедельному просмотру Event Viewer. Увидев дополнительные сообщения об ошибках, я бы заменила диск. Если бы я периодически не проверяла журналы компьютера, диск мог бы продолжать разваливаться и резервное копирование оказалось бы бесполезным из-за порчи файлов.

Кстати, когда я проверяю Event Viewer, я выполняю сортировку событий по типу и сначала просматриваю сообщения об ошибках, а затем предупреждения. В этот раз я также обнаружила предупреждение, датированное днем раньше, чем появилось сообщение об ошибке, и в этом предупреждении говорилось, что при записи в файл подкачки Windows обнаружила ошибку на диске. Если бы я проверила системный журнал днем раньше, я бы, возможно, нашла меньшее количество испорченных фрагментов для исправления программой Chkdsk.

Следует также просматривать все события в журнале безопасности. Этот журнал будет оставаться пустым до тех пор, пока вы не установите аудит событий безопасности. Если аудит событий безопасности установлен, ищите значительные события в зависимости от настроек аудита. Журнал безопасности — единственный журнал в Event Viewer, для просмотра которого необходимы административные полномочия. Более подробную информацию об аудите событий безопасности можно найти в статье «Мониторинг событий безопасности» (Windows & .NET Magazine/RE, №7 за 2003 год, и на Web-странице ).

Как остановить запись нежелательных событий

По умолчанию Windows настраивает компьютеры как принт-серверы, которые записывают все события, относящиеся к печати на принтерах. Кроме того, системный журнал компьютера делает информационные записи при каждой отправке документа на принтер и повторно — когда файл спулера удален после выполнения задания на печать.

Для меня события, относящиеся к печати на принтерах, не имеют значения, но некоторые администраторы хотят знать, были ли ошибки в работе с принтерами и если были, то когда; возможна также запись уведомлений, когда кто-то добавляет или удаляет принтер. Сомневаюсь, что администраторы убеждены в необходимости пополнять журнал уведомлений каждый раз, когда задание на печать отправляется спулеру, а потом удаляется.

Можно изменить выбор событий печати, записываемых в системный журнал, в папке Printers компьютера (в Windows 2003 и XP она называется Printers and Faxes). Выберите File, Server Properties и перейдите на вкладку Advanced, показанную на экране 4. Можно просто отменить выбор событий, которые вы не хотите регистрировать в журнале.

Возьмите за правило

Поместите Event Viewer в свой список задач по обслуживанию и периодически проверяйте сетевые компьютеры. Если вы отвечаете за множество компьютеров, обеспечьте по крайней мере еженедельную проверку серверов (особенно контроллеров доменов), а рабочие станции следует проверять так, чтобы каждая рабочая станция попадала в поле зрения раз в несколько недель. Хотя на первый взгляд может показаться, что эта задача очень трудоемкая, устранение серьезной проблемы отнимает намного больше времени и сил, чем проверка журналов для получения дополнительной информации о текущих неполадках.

) — редактор Windows & .NET Magazine. Является соавтором более 40 книг по компьютерной тематике, включая «Windows 2000: The Complete Reference»

Как очистить

Утилита записывает мегабайты информации о работе ОС, отправляет их на сервер Microsoft не удаляя из системы. Они сохраняются на HDD. Чтобы удалить, используются такие способы:

1. Выборочное удаление;
2. Удалить используя Командную строку;
3. Использование стороннего софта.

Рассмотрим их подробнее.

Выборочная очистка

Откройте утилиту, выполните действия как на скриншоте:

Очищаем Журнал событий Windows 10 через cmd (командную строку)

Нажмите «Win+X», далее: Пропишите команду:

Приложение CCleaner

Откройте программу. В разделе «Очистка» о. Нажмите кнопки «Анализ», потом «Очистка».

Подробнее о работе приложения смотрите в статье: «Очистка ПК».

История последних файлов в Проводнике

В системном файловом менеджере — Проводнике Windows сохраняется информация об использованных папках и файлах. В ряде случаев, пользователю лучше скрыть подобные сведения.

1. Откройте Проводник Windows.
2. Войдите во вкладку «Вид».
3. На панели инструментов нажмите на кнопку «Параметры».
4. Из окна «Параметры папок» перейдите во вкладку «Общие».
5. В разделе «Конфиденциальность», в опции «Очистить журнал проводника» нажмите на кнопку «Очистить».

Если нужно, выполните дополнительные настройки, влияющие на конфиденциальность:

1. В параметре «Конфиденциальность» снимите флажки с пунктов:

• Показать недавно использовавшиеся файлы на панели быстрого доступа.
• Показать часто используемые папки на панели быстрого доступа.

1. В опции «Открыть проводник для:» выберите «Этот компьютер».
2. Нажмите на кнопку «ОК».

Благодаря этим настройкам, при запуске Проводника будут скрыты часто используемые папки и недавние файлы.