一、文件存储位置
系统日志 C:\Windows\System32\Winevt\Logs\System.evtx
安全日志 C:\Windows\System32\Winevt\Logs\Security.evtx
应用日志 C:\Windows\System32\Winevt\Logs\Application.evtx
二、全部清除
1、打开事件查看器删除
通过win+r输入eventvwr打开事件查看器,在右边的操作一栏中,选择Clear Log...
2、powershell命令删除
PowerShell -Command "& {Clear-Eventlog -Log Application,System,Security}".
PowerShell -Command "& {Get-WinEvent -ListLog Application,System,Security -Force | % {Wevtutil.exe cl $_.Logname}}"
3、cmd命令删除
wevtutil clear-log Application
wevtutil clear-log Security
wevtutil clear-log System
三、定向清除
1、停止日志服务
首先利用powershell命令找出日志记录服务(eventlog)对应的进程PID,Get-WmiObject或Get-CimInstance命令都可以:
Get-WmiObject -Class win32_service -Filter "name = 'eventlog'"
或者
Get-CimInstance -ClassName win32_service -Filter "name = 'eventlog'"
procexp.exe(Process Explorer)找出PID=840的进程:
选择该scvhost.exe,点选右键->属性->线程,找出服务为eventlog的线程PID,为876、884、1424、1428、1432,依次选择Kill这些线程。
需要恢复日志记录服务时,在进程列表界面选择该scvhost.exe,点选右键->重新启动,然后运行命令net start eventlog。
2、删除日志
项目地址:https://github.com/QAX-A-Team/EventCleaner
四、应用日志
删改WIndows安装的应用程序的日志相对简单些,因为定位其路径后就可以手动进行删改,思路都是相同的,都是先找到应用程序的日志路径,停止其相应服务,然后对日志内容进行删改。
这里以最常见的WEB应用为例,日志类型及其默认路径和服务如下:(注意不同版本的应用日志默认存放路径可能不同)
日志类型 默认路径 相应服务
IIS C:\inetpub\logs\LogFiles\W3SVC1\ World Wide Publishing Service
Apache C:\Apache 2.4\logs Apache2.4
Tomcat C:\Tomcat 8.5\logs Apache Tomcat 8.5 Tomcat8
停止服务的命令一般用net stop即可,如net stop "World Wide Publishing Service",删除命令用Shift + Delete或cmd命令del