一、文件存儲位置
系統日志 C:\Windows\System32\Winevt\Logs\System.evtx
安全日志 C:\Windows\System32\Winevt\Logs\Security.evtx
應用日志 C:\Windows\System32\Winevt\Logs\Application.evtx
二、全部清除
1、打開事件查看器刪除
通過win+r輸入eventvwr打開事件查看器,在右邊的操作一欄中,選擇Clear Log...
2、powershell命令刪除
PowerShell -Command "& {Clear-Eventlog -Log Application,System,Security}".
PowerShell -Command "& {Get-WinEvent -ListLog Application,System,Security -Force | % {Wevtutil.exe cl $_.Logname}}"
3、cmd命令刪除
wevtutil clear-log Application
wevtutil clear-log Security
wevtutil clear-log System
三、定向清除
1、停止日志服務
首先利用powershell命令找出日志記錄服務(eventlog)對應的進程PID,Get-WmiObject或Get-CimInstance命令都可以:
Get-WmiObject -Class win32_service -Filter "name = 'eventlog'"
或者
Get-CimInstance -ClassName win32_service -Filter "name = 'eventlog'"
procexp.exe(Process Explorer)找出PID=840的進程:
選擇該scvhost.exe,點選右鍵->屬性->線程,找出服務為eventlog的線程PID,為876、884、1424、1428、1432,依次選擇Kill這些線程。
需要恢復日志記錄服務時,在進程列表界面選擇該scvhost.exe,點選右鍵->重新啟動,然后運行命令net start eventlog。
2、刪除日志
項目地址:https://github.com/QAX-A-Team/EventCleaner
四、應用日志
刪改WIndows安裝的應用程序的日志相對簡單些,因為定位其路徑后就可以手動進行刪改,思路都是相同的,都是先找到應用程序的日志路徑,停止其相應服務,然后對日志內容進行刪改。
這里以最常見的WEB應用為例,日志類型及其默認路徑和服務如下:(注意不同版本的應用日志默認存放路徑可能不同)
日志類型 默認路徑 相應服務
IIS C:\inetpub\logs\LogFiles\W3SVC1\ World Wide Publishing Service
Apache C:\Apache 2.4\logs Apache2.4
Tomcat C:\Tomcat 8.5\logs Apache Tomcat 8.5 Tomcat8
停止服務的命令一般用net stop即可,如net stop "World Wide Publishing Service",刪除命令用Shift + Delete或cmd命令del