Как изменить журнал событий

Где находится и для чего нужен журнал событий в Windows 7/10, как зайти в журнал и посмотреть события, очистка записей и отключение мониторинга

Содержание:

  • 1 Где находится журнал событий Windows
  • 2 Как открыть журнал
  • 3 Как использовать содержимое журнала
  • 4 Очистка, удаление и отключение журнала

Даже когда пользователь ПК не совершает никаких действий, операционная система продолжает считывать и записывать множество данных. Наиболее важные события отслеживаются и автоматически записываются в особый лог, который в Windows называется Журналом событий. Но для чего нужен такой мониторинг? Ни для кого не является секретом, что в работе операционной системы и установленных программ могут возникать сбои. Чтобы администраторы могли находить причины таких ошибок, система должна их регистрировать, что собственно она и делает.

Итак, основным предназначением Журнала событий в Windows 7/10 является сбор данных, которые могут пригодиться при устранении неисправностей в работе системы, программного обеспечения и оборудования. Впрочем, заносятся в него не только ошибки, но также и предупреждения, и вполне удачные операции, например, установка новой программы или подключение к сети.

Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.

Файлы журнала событий

Хотя эти файлы содержат текстовые данные, открыть их Блокнотом или другим текстовым редактором не получится, поскольку они имеют бинарный формат. Тогда как посмотреть Журнал событий в Windows 7/10, спросите вы? Очень просто, для этого в системе предусмотрена специальная штатная утилита eventvwr.

Как открыть журнал

Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr.msc.

Переход в Журнал событий

В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой – список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.

Просмотр событий

Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основных и две дополнительных категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные – «Установка» и «Перенаправленные события».

Категория «Система» содержит события, сгенерированные системными компонентами – драйверами и модулями Windows.

Ветка «Приложения» включает записи, созданные различными программами. Эти данные могут пригодиться как системным администраторам и разработчикам программного обеспечения, так и обычным пользователям, желающим установить причину отказа той или иной программы.

Третья категория событий «Безопасность» содержит сведения, связанные с безопасностью системы. К ним относятся входы пользователей в аккаунты, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам, запуск и остановка процессов и так далее.

Так как число событий может исчисляться тысячами и даже десятками тысяч, в eventvwr предусмотрена возможность поиска и фильтрации событий по свойствам – важности, времени, источнику, имени компьютера и пользователя, коду и так далее. Допустим, вы хотите получить список системных ошибок. Выберите слева Журналы Windows – Система, справа нажмите «Фильтр текущего журнала» и отметьте в открывшемся окне галочкой уровень события – пункты «Ошибка» и «Критическое». Нажмите «OK» и утилита тут же отфильтрует записи.

Фильтрация записей

Отфильтрованные события

Чтобы просмотреть конкретную запись, кликните по ней дважды – сведения откроются в окошке «Свойства событий».

Свойства события

Как использовать содержимое журнала

Хорошо, теперь мы в курсе, где находится журнал событий и как его открыть, осталось узнать, как его можно использовать. Сразу нужно сказать, что в силу своей специфичности содержащиеся в нем сведения мало что могут поведать обычному пользователю. О чем говорит, к примеру, ошибка «Регистрация сервера {BF6C1E47-86EC-4194-9CE5-13C15DCB2001} DCOM не выполнена за отведенное время ожидания»? Не обладающему соответствующими знаниями юзеру будет непросто определить причину неполадки, с другой стороны, что мешает поискать ответ в Интернете?

Так, описание приведенной выше ошибки имеется на сайте Microsoft и указывает оно на проблемы со SkyDrive, кстати, не представляющие совершенно никакой угрозы. Если вы не пользуетесь этим сервисом, ошибку можно игнорировать или отключить ее источник в «Планировщике заданий». А еще описание ошибки можно отправить разработчику, предварительно сохранив его в файл XML, CSV или TХT.

Также пользователи могут связывать отслеживаемые события с задачами в «Планировщике заданий». Для этого необходимо кликнуть ПКМ по записи, выбрать «Привязать задачу к событию» и создать с помощью запустившегося мастера нужное задание. В следующий раз, когда произойдет такое событие, система сама запустит выполнение задания.

Создание задачи

Очистка, удаление и отключение журнала

На жестком диске файлы журнала занимают сравнительно немного места, тем не менее, у пользователя может возникнуть необходимость их очистить. Сделать это можно разными способами: с помощью оснастки eventvwr, командной строки и PowerShell. Для выборочной очистки вполне подойдет ручной способ. Нужно зайти в журнал событий, кликнуть ПКМ по очищаемому журналу в левой колонке и выбрать в меню опцию «Очистить журнал».

Очистка журнала через программу просмотра

Если вы хотите полностью удалить все записи журнала, удобнее будет воспользоваться запущенной от имени администратора командной строкой. Команда очистки выглядит следующим образом:

for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

Очистка журнала с помощью командной строки фото 1

Очистка журнала с помощью командной строки фото 2

Вместо командной строки для быстрой и полной очистки журнала также можно воспользоваться консолью PowerShell. Откройте ее с повышенными правами и выполните в ней такую команду:

wevtutil el | Foreach-Object {wevtutil cl «$_»}

Очистка журнала через консоль PowerShell

При очистке через PowerShell в журнале могут остаться несколько записей. Это не беда, в крайнем случае события можно удалить вручную.

Итак, мы знаем, как открыть журнал событий, знаем, как его использовать и очищать, в завершение давайте посмотрим, как его полностью отключить, хотя делать это без особой нужды не рекомендуется, так как вместе с журналом событий отключатся некоторые, возможно нужные вам службы.

Командой services.msc откройте оснастку «Службы», справа найдите «Журнал событий Windows», кликните по нему дважды, в открывшемся окошке свойств тип запуска выберите «Отключено», а затем нажмите кнопку «Остановить».

Отключение протоколирования

Связанные службы

Изменения вступят в силу после перезагрузки компьютера. Вот и все, больше системные и программные события регистрироваться не будут.

В журналах событий Windows хранится полезная информация, которая нужна при анализе состояния служб и приложений в Windows, отладки ошибок и аварийный ситуаций, аудите различных событий безопасности. По умолчанию для журналов Event Viewer в Windows заданы максимальные размеры, при достижении которых новые события начинают перезаписывать более старые. Если на вход Event Viewer попадает слишком большое количество событий, может случится, что в журнал помещаются события лишь за последние несколько часов, что может быть не достаточно.

Чтобы предотвратить перезапись старых событий и всегда иметь под рукой события за достаточно большой промежуток времени, вы можете увеличить максимальный размер журналов Event Viewer.

Содержание:

  • Получить информацию о журналах событий Windows с помощью PowerShell
  • Изменить размер журнала событий из консоли Event Viewer
  • Увеличить размер журнала событий Windows через GPO

Получить информацию о журналах событий Windows с помощью PowerShell

Файлы журналы событий Windows хранятся в каталог
%SystemRoot%System32WinevtLogs
в виде файлов с расширением .EVTX. Обратите внимание, что для каждого журнала используется собственный файл. Соответственно, вы можете управлять размерами только того лога Windows, который вам нужен и оставить остальные значения по-умолчанию.

evtx файлы журналов событий в каталоге WinevtLogs

Текущие лимиты на все включенные журналы событий в Windows можно вывести с помощью PowerShell:

Get-Eventlog -List

powershell вывести все журналы Event Viewer и максимальный размер файла

Вы можно вывести размер определенного лога с помощью командлета Get-WinEvent. Например, получим текущий и максимальный размер журнала Security:

Get-WinEvent -ListLog Security| Select MaximumSizeInBytes, FileSize, IsLogFull, OldestRecordNumber, IsEnabled, LogMode

Get-WinEvent вывести текущий и максимальный размер журнала

Суммарный размер паки с файлами журналов событий можно получить с помощью PowerShell:
«{0:N2} MB» -f ((gci c:windowsSystem32WinevtLogs| measure Length -s).sum / 1Mb)

Чтобы увеличить максимальный размер лога, можно использовать утилиту wevtutul (новый размер задается в Кб):

wevtutil sl "Application" /ms:200000

Или с помощью PowerShell:

Limit-Eventlog -Logname Application -MaximumSize 200MB -OverflowAction OverwriteOlder

Изменить размер журнала событий из консоли Event Viewer

Проще всего увеличить максимальный размер журнала прямо из консоли Event Viewer.

  1. Откройте
    eventvwr.msc
    ;
  2. Найдите в консоли свойства нужного журнала и откройте его свойства (например, Security);
  3. Задайте ограничение в разделе Maximum log size (KB) и сохраните изменения; Изменить максимальный размер лога в Windows через консоль Event Viewer
  4. Здесь же можно изменить поведение при достижение максимального размера:
    Owerwrite events as needed (oldest events first) – этот режим исопльзуется по умолчанию. Новые события просто перезаписывают более старые.
    Archive the log when full, do not owerwrite events – текущий журнал событий при заполнении архивируется в папке System32WinevtLogs и новые события записываются в новый evtx файл. Архивные файлы событий можно открыть через меню Open Saved Log в Event Viewer.
    Do not owerwrite events (Clear log manually) – события никогда не перезатираются. Для записи новых событий нужно очистить журнал.

Увеличить размер журнала событий Windows через GPO

Чтобы централизованно управлять размерами журналов событий на компьютерах или серверах в домене Active Directory, можно использовать групповые политики.

  1. Запустите консоль Group Policy Management (
    gpmc.msc
    ), создайте новую GPO и назначьте на OU с компьютерами или серверами, для которых вы хотите изменить настройки Event Viewer (или назначьте GPO на корень домена);
  2. Перейдите в раздел GPO Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Event Log Service. Как вы видите, в этом ветке есть подразделы для управления базовыми журналами Windows:
    Application
    Security
    Setup
    System
  3. Чтобы увеличить максимальный размер любого из журналов, откройте параметр Specify the maximum log file size (KB), включите его и задайте нужный вам размер; GPO задать максимальный размер лога в Windows Specify the maximum log file size (KB
  4. Обновите настройки политики на клиентах и проверьте, что в свойствах журнала теперь указан новый размер, который вы не можете изменить. При попытке задать другой размер появится ошибка:
    Не могу изменить Maximum Log Size Event Viewer
    The Maximum Log Size specified is not valid. It is too large or too small. The Maximum Log Size will be set to the following: 61440 KB

Обратите внимание, что в описанном выше разделе GPO отсутствуют настройки для других журналов из раздела Applications and Services Logs -> Microsoft.Если вам нужно увеличить размер любого другого журнала событий (кроме стандартного), это можно сделать через реестр. Настройки журналов событий Windows хранятся в разделе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventLog<log_name>. Размер журнала задается с помощью параметра MaxSize (тип REG_DWORD). Вы можете распространить нужное вам значение параметра реестра MaxSize на компьютеры домена с помощью Group Policy Preferences.

Подробнее о настройке ключей и параметров реестра через GPO здесь.

В этом примере мы увеличим размер журнала Directory Service на контроллерах домена. Настройки этого лога хранятся в ветке HKLMSYSTEMCurrentControlSetServicesEventLogDirectory Service.

Максимальный размер файла журнала событий задается в реестре Windows

  1. Откройте GPO и перейдите в раздел Computer Configuration -> Preferences -> Windows Settings -> Registry;
  2. Выберите New -> Registry Item;
  3. Создайте новый параметр со следующими настройками:
    Hive: HKEY_LOCAL_MACHINE
    Key path: SYSTEMCurrentControlSetServicesEventLogDirectory Service
    Value name: MaxSize
    Value type: REG_DWORD
    Value data: 52428800 (значение задается в байтах. В нашем примере это 50 Мб)

    Задать параметр MaxSize журнала событий с помощью групповой политики

  4. Проверьте, что после обновления GPO на DC увеличится максимальный размер журнала. Новый максимальный размер журнала Event Log

Например, если вам нужно хранить историю RDP подключений к RDS хосту за продолжительное время, нужно увеличить размер лога Terminal-Services-RemoteConnectionManager.

За счет увеличения размеров журналов событий Windows вы можете получить различную информацию за более длительный промежуток времени. Например, из журналов событий можно получить историю перезагрузок Windows, понять кто удалил файл в сетевой папке или кто изменил NTFS права доступа.

Просмотр событий WindowsТема этой статьи — использование малознакомого большинству пользователей инструмента Windows: Просмотр событий или Event Viewer.

Для чего это может пригодиться? Прежде всего, если вы хотите сами разобраться что происходит с компьютером и решить различного рода проблемы в работе ОС и программ— данная утилита способна вам помочь, при условии, что вы знаете, как ее использовать.

Дополнительно на тему администрирования Windows

  • Администрирование Windows для начинающих
  • Редактор реестра
  • Редактор локальной групповой политики
  • Работа со службами Windows
  • Управление дисками
  • Диспетчер задач
  • Просмотр событий (эта статья)
  • Планировщик заданий
  • Монитор стабильности системы
  • Системный монитор
  • Монитор ресурсов
  • Брандмауэр Windows в режиме повышенной безопасности

Как запустить просмотр событий

Первый способ, одинаково подходящий для Windows 7, 8 и 8.1 — нажать клавиши Win + R на клавиатуре и ввести eventvwr.msc, после чего нажать Enter.

Запуск просмотра событий

Еще один способ, который также подойдет для всех актуальных версий ОС — зайти в Панель управления — Администрирование и выбрать там соответствующий пункт.

И еще один вариант, который подойдет для Windows 8.1 — кликнуть правой кнопкой мыши по кнопке «Пуск» и выбрать пункт контекстного меню «Просмотр событий». Это же меню можно вызвать, нажав на клавиатуре клавиши Win + X.

Где и что находится в просмотре событий

Главное окно инструмента

Интерфейс данного инструмента администрирования можно условно разделить на три части:

  • В левой панели находится древовидная структура, в которой отсортированы события по различным параметрам. Кроме этого, сюда же можно добавить собственные «Настраиваемые представления», в которых будут отображаться лишь нужные вам события.
  • По центру, при выборе одной из «папок» слева будет отображаться сам список событий, а при выборе любого из них, в нижней части вы увидите более подробную информацию о нем.
  • В правой части собраны ссылки на действия, позволяющие отфильтровать события по параметрам, найти нужные, создать настраиваемые представления, сохранить список и создать задачу в планировщике заданий, которая будет связана с определенным событием.

Информация о событиях

Информация об ошибках и событиях

Как я уже сказал выше, при выборе какого-либо события, в нижней части будет отображаться информация о нем. Эта информация может помочь найти решение проблемы в Интернете (впрочем, не всегда) и стоит понимать, какое свойство что означает:

  • Имя журнала — имя файла журнала, куда была сохранена информация о событии.
  • Источник — название программы, процесса или компонента системы, которое сгенерировало событие (если вы видите здесь Application Error), то имя самого приложение вы можете увидеть в поле выше.
  • Код — код события, может помочь найти информацию о нем в Интернете. Правда, искать стоит в англоязычном сегменте по запросу Event ID + цифровое обозначение кода + название приложения, вызывавшего сбой (поскольку коды событий для каждой программы уникальны).
  • Код операции — как правило, здесь всегда указано «Сведения», так что толку от этого поля мало.
  • Категория задачи, ключевые слова — обычно не используются.
  • Пользователь и компьютер — сообщает о том, от имени какого пользователя и на каком компьютере был запущен процесс, вызвавший событие.

Внизу, в поле «Подробности», вы можете также увидеть ссылку «Справка в Интернете», которая передает информацию о событии на сайт Microsoft и, по идее, должна отображать информацию о данном событии. Однако, в большинстве случаев вы увидите сообщение о том, что страница не найдена.

Чтобы найти информацию по ошибке, лучше воспользоваться следующим запросом: Имя приложения + Event ID + Код + Источник. Пример можете увидеть на скриншоте. Можно попробовать и поиск на русском языке, но на английском информативных результатов больше. Также для поиска подойдет текстовая информация об ошибке (кликните дважды по событию).

Поиск информации об ошибке по Event ID

Примечание: на некоторых сайтах вы можете найти предложение скачать программы для исправления ошибок с тем или иным кодом, причем на одном сайте собраны все возможные коды ошибок — не стоит загружать таких файлов, они не исправят проблем, а с большой вероятностью повлекут за собой дополнительные.

Также стоит отметить, что большинство предупреждений не представляют из себя что-то опасное, а сообщения об ошибках также не всегда говорят о том, что с компьютером что-то не так.

Просмотр журнала производительности Windows

В просмотре событий Windows можно найти достаточное количество интересных вещей, например — посмотреть на проблемы с производительностью компьютера.

События, связанные с производительностью системы

Для этого в правой панели откройте Журналы приложений и служб — Microsoft — Windows — Diagnostics-Perfomance — Работает и посмотрите, есть ли среди событий какие-либо ошибки — они сообщают о том, что какой-то компонент или программа привела к замедлению загрузки Windows. По двойному клику по событию, вы можете вызвать подробную информацию о нем.

Использование фильтров и настраиваемых представлений

Огромное количество событий в журналах приводит к тому, что в них сложно ориентироваться. К тому же, большинство из них не несут в себе критически важной информации. Лучший способ отобразить только нужные события — использовать настраиваемые представления: вы можете задать уровень событий, которые нужно отображать — ошибки, предупреждения, критические ошибки, а также их источник или журнал.

Создание настраиваемого представления

Для того, чтобы создать настраиваемое представление, нажмите соответствующий пункт в панели справа. Уже после создания настраиваемого представления, вы имеете возможность применить к нему дополнительные фильтры, кликнув по «Фильтр текущего настраиваемого представления».

Конечно, это далеко не все, для чего может пригодиться просмотр событий Windows, но это, как было отмечено, статья для начинающих пользователей, то есть для тех, кто вообще не знает о данной утилите. Быть может, она подвигнет к дальнейшему изучению этого и других инструментов администрирования ОС.

prosmotr-zhurnalov-sobyitiyДоброго дня!

Даже если вы за компьютером ничего не делаете — в процессе работы ОС Windows записывает часть данных в спец. документы (их еще называют логами или системными журналами). Как правило, под-запись попадают различные события, например, включение/выключение ПК, возникновение ошибок, обновления и т.д. 👀

Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены… 😢

В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).

Итак…

*

Работа с журналом событий (для начинающих)

Как его открыть

Вариант 1

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

  1. нажать сочетание кнопок Win+R — должно появиться окно «Выполнить»;
  2. ввести команду eventvwr и нажать OK (примечание: также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню «Файл/новая задача» и ввести ту же команду eventvwr);

    eventvwr — команда для вызова журнала событий

    eventvwr — команда для вызова журнала событий

  3. после этого у вас должно появиться окно «Просмотр событий» — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows…

    Просмотр событий

    Просмотр событий

Вариант 2

  1. сначала необходимо 👉 открыть панель управления и перейти в раздел «Система и безопасность»;

    Система и безопасность

    Система и безопасность

  2. далее необходимо перейти в раздел «Администрирование»;

    Администрирование

    Администрирование

  3. после кликнуть мышкой по ярлыку «Просмотр событий».

    Просмотр событий — Администрирование

    Просмотр событий — Администрирование

Вариант 3

Актуально для пользователей Windows 10/11.

1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже). 👇

Windows 10 — события

Windows 10 — события

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

Win+X — вызов меню

Win+X — вызов меню

Журналы Windows

Журналы Windows

Журналы Windows

Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:

  1. «Приложение» — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
  2. «Система» — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
  3. «Безопасность» — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).

Как найти и просмотреть ошибки (в т.ч. критические)

Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

И так, сначала необходимо выбрать нужный журнал (например «Система»), далее кликнуть в правой колонке по инструменту «Фильтр текущего журнала».

Система — фильтр текущего журнала

Система — фильтр текущего журнала / Кликабельно

После указать дату, уровень события (например, ошибки), и нажать OK.

Критические ошибки

Критические ошибки

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует.

Например, на своем подопытном компьютере я нашел ошибку из-за которой он перезагрузился (благодаря коду ошибки и ее подробному описанию — можно найти решение на сайте Microsoft).

Представлены все ошибки по дате и времени их возникновения

Представлены все ошибки по дате и времени их возникновения / Кликабельно

Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

Можно ли отключить журналы событий

Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск) 

*

Для отключения журналов событий нужно:

  1. открыть «службы» (для этого нажмите Win+R, введите команду services.msc и нажмите OK);

    Открываем службы - services.msc (универсальный способ)

    Открываем службы — services.msc (универсальный способ)

  2. далее нужно найти службу «Журнал событий Windows» и открыть ее;

    Службы — журналы событий

    Службы — журналы событий

  3. после перевести тип запуска в режим «отключена» и нажать кнопку «остановить». Затем сохранить настройки и перезагрузить компьютер.

    Отключена — остановить

    Отключена — остановить

*

На этом пока всё, удачи!

Первая публикация: 23.03.2019

Корректировка: 14.08.2021

donate

dzen-ya

Полезный софт:

  • видеомонтаж
  • Видео-Монтаж
  • Отличное ПО для создания своих первых видеороликов (все действия идут по шагам!).
    Видео сделает даже новичок!

  • утилита для оптимизации
  • Ускоритель компьютера
  • Программа для очистки Windows от «мусора» (удаляет временные файлы, ускоряет систему, оптимизирует реестр).

Если вы хотите изменить расположение файла журнала событий по умолчанию в Windows 10, эта статья будет вам полезна. Можно изменить предварительно заданное расположение файла журнала с помощью редактора локальной групповой политики и редактора реестра. Однако это местоположение должно быть доступно для записи службой журнала событий и доступно администраторам.

Чтобы изменить расположение файла журнала событий по умолчанию с помощью редактора групповой политики, выполните следующие действия:

  1. Нажмите Win + R.
  2. Тип gpedit.msc и нажмите Войти кнопка.
  3. Идти к Безопасность в Конфигурация компьютера.
  4. Дважды щелкните значок Управление расположением файла журнала параметр.
  5. Выберите Включено вариант.
  6. Введите путь в поле.
  7. Нажмите на Подать заявление и Ok.

Давайте подробно рассмотрим шаги.

Сначала нажмите Win + R , чтобы открыть приглашение «Выполнить». Затем введите gpedit.msc и ударил Войти кнопка. После открытия редактора локальной групповой политики на вашем компьютере следуйте по этому пути:

Computer Configuration > Administrative Templates > Windows Components > Event Log Service > Security

в Безопасность в папке вы увидите настройку под названием Управление расположением файла журнала. Дважды щелкните и выберите Включено вариант.

Как изменить расположение файла журнала событий по умолчанию в Windows 10

Затем введите путь, доступный для записи службой журнала событий и доступный администраторам компьютера. Выбирая путь, вы должны учитывать эти два условия. В противном случае это руководство не сработает.

Если вы хотите вернуться к исходному пути, посетите то же место и выберите Не настроено вариант.

Читать: Журналы средства просмотра событий отсутствуют в Windows 10.

Измените расположение файла журнала событий с помощью редактора реестра.

Чтобы изменить расположение файла журнала событий в Windows 10, выполните следующие действия:

  1. Нажмите Win + R.
  2. Тип regedit и ударил Войти кнопка.
  3. Щелкните значок да кнопка.
  4. Перейдите к Окна в Ключ HKLM.
  5. Щелкните правой кнопкой мыши Windows> New> Key.
  6. Назовите это как Журнал событий.
  7. Щелкните правой кнопкой мыши EventLog> New> Key.
  8. Назовите это как Безопасность.
  9. Щелкните правой кнопкой мыши Security> New> String Value.
  10. Назовите это как Файл.
  11. Дважды щелкните на Файл для установки данных значения.
  12. Введите путь к местоположению и нажмите Ok.

Поскольку вы будете создавать и изменять некоторые значения в редакторе реестра, рекомендуется сделать резервную копию всех файлов реестра и создать точку восстановления системы.

Для начала нажмите Win + R, тип regeditи нажмите Войти ключ. Если отображается окно UAC, щелкните значок да кнопка. После открытия редактора реестра перейдите по этому пути —

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows

в Окна key, вам нужно будет создать один подключ. Для этого щелкните правой кнопкой мыши Windows> Создать> Ключ и назовите это как Журнал событий.

Как изменить расположение файла журнала событий по умолчанию в Windows 10

Теперь выполните те же действия, чтобы создать подключа внутри Журнал событий. Другими словами, щелкните правой кнопкой мыши EventLog> Создать> Ключ, и назовите его Безопасность.

Как изменить расположение файла журнала событий по умолчанию в Windows 10

После этого вам нужно будет создать строковое значение в Безопасность ключ. Для этого щелкните правой кнопкой мыши Безопасность и выберите Создать> Строковое значение. Затем назовите его Файл.

Как изменить расположение файла журнала событий по умолчанию в Windows 10

Затем отключите данные значения Файл Строковое значение. Для этого дважды щелкните Файл, и введите путь, по которому вы хотите сохранить файл журнала событий как Данные значения.

Как изменить расположение файла журнала событий по умолчанию в Windows 10

Нажать на Ok кнопку, чтобы сохранить изменение.

Если вы хотите выбрать путь по умолчанию, щелкните правой кнопкой мыши на Журнал событий и выберите Удалить вариант. Затем вам нужно будет подтвердить удаление, нажав утвердительный вариант.

Читать: Журналы средства просмотра событий отсутствуют.

Вот и все! Надеюсь, это поможет.

Как изменить расположение файла журнала событий по умолчанию в Windows 10

Содержание

  • Способ 1: Управление службами
  • Способ 2: «Редактор локальных групповых политик»
  • Способ 3: «Редактор реестра»
  • Вопросы и ответы

Как отключить «Журнал событий» в Windows 10

Способ 1: Управление службами

За работу «Журнала событий» в Windows 10 отвечает служба «EventLog», и если ее отключить, запись данных в журнал производиться не будет.

  1. Откройте оснастку управления службами, для чего нажмите комбинацию клавиш Win + R и выполните в открывшемся диалоговом окошке команду services.msc.
  2. Как отключить «Журнал событий» в Windows 10-1

  3. Отыщите в списке службу «Журнал событий Windows» и откройте ее свойства двойным по ней кликом.
  4. Как отключить «Журнал событий» в Windows 10-2

  5. Измените тип запуска службы на «Отключена», сохраните настройки и перезагрузите компьютер.
  6. Как отключить «Журнал событий» в Windows 10-3

Способ имеет свои недостатки, так как отключение службы «EventLog» приведет к автоматическому отключению службы сведений о подключенных сетях, что может вызвать проблемы с интернет-соединением.

Способ 2: «Редактор локальных групповых политик»

Отключить запись событий в системный журнал можно также с помощью встроенного «Редактора локальных групповых политик». Этот способ хорош тем, что не отключает саму службу журнала и зависимых от нее служб.

  1. Вызовите нажатием Win + R диалоговое окошко быстрого запуска и выполните в нем команду gpedit.msc.
  2. Как отключить «Журнал событий» в Windows 10-4

  3. В левой колонке редактора «GPO» разверните ветку «Конфигурация компьютера»«Административные шаблоны»«Компоненты Windows»«Служба журнала событий»«Настройка». Откройте двойным кликом свойства политики «Включить ведение журнала».
  4. Как отключить «Журнал событий» в Windows 10-5

  5. Активируйте радиокнопку «Отключено» и сохраните настройки.
  6. Как отключить «Журнал событий» в Windows 10-6

Готово, больше новые события записываться в «Журнал событий» не будут, а старые можно удалить непосредственно из самого журнала.

Способ 3: «Редактор реестра»

В Windows 10 Home «Редактор локальных групповых политик» по умолчанию отключен, так что для отключения «Журнала событий» придется применять твик реестра.

  1. Откройте выполненной в окошке Win + R командой regedit штатный «Редактор реестра».
  2. Как отключить «Журнал событий» в Windows 10-7

  3. Разверните в левой колонке ветку HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindows и создайте в правой колонке из контекстного меню вложенный подраздел «EventLog».
  4. Как отключить «Журнал событий» в Windows 10-8

  5. В свою очередь, в нем создайте следующий вложенный подраздел с именем «Setup».
  6. Как отключить «Журнал событий» в Windows 10-9

  7. В нем создайте строковый параметр и назовите его «Enabled».
  8. Как отключить «Журнал событий» в Windows 10-10

  9. Откройте двойным кликом по параметру окошко редактирования его значения и установите в качестве последнего «0».
  10. Как отключить «Журнал событий» в Windows 10-11

Чтобы настройки вступили в силу, перезагрузите компьютер. Ведение системного журнала Windows будет отключено, однако старые записи в нем останутся, как и в случае отключения через «Редактор локальных групповых политик».

Lumpics.ru

Еще статьи по данной теме:

Помогла ли Вам статья?

If you want to enable or disable Protected Event Logging in Windows 11 and Windows 10, this step-by-step guide helps you go through the process. However, you must include an Encryption certificate if you want to enable Protected Event Logging in Windows 11/10.

For your information, you can turn this setting on or off with the help of the Local Group Policy Editor and Registry Editor. If you want to use the REGEDIT method, don’t forget to backup Registry files first.

Enable or disable Protected Event Logging using Group Policy

To enable or disable Protected Event Logging in Windows 11/10 using Group Policy, follow these steps:

  1. Press Win+R to open the Run prompt.
  2. Type mscand hit the Enter button.
  3. Navigate to Event Logging in Computer Configuration.
  4. Double-click on the Enable Protected Event Logging 
  5. Choose the Enabled option.
  6. Enter the encryption certificate.
  7. Click the OK button.

To learn more about these steps, continue reading.

To get started, you need to open the Local Group Policy Editor first. For that, press Win+R to open the Run prompt, type gpedit.msc, and hit the Enter button.

Once it is opened on your screen, navigate to the following path:

Computer Configuration > Administrative Templates > Windows Components > Event Logging

Here you can find a setting called Enable Protected Event Logging on the right-hand side. You need to double-click on this setting and choose the Enabled option.

How to enable or disable Protected Event Logging in Windows 11/10

Then, enter the encryption key in the respective box and click the OK button.

After that, your log data will be encrypted. In case you want to disable or turn off Protected Event Logging in Windows 11/10, you need to open the same setting in the Local Group Policy Editor and choose the Disabled or Not Configured option.

Read: Event Log Manager & Event Log Explorer software.

Turn on or off Protected Event Logging using Registry

To turn on or off Protected Event Logging in Windows 11/10 using Registry, follow these steps:

  1. Press Win+R to display the Run prompt.
  2. Type regedit > press the Enter button > click the Yes 
  3. Navigate to Windows in HKLM.
  4. Right-click on Windows > New > Key.
  5. Name it as EventLog.
  6. Right-click on EventLog > New > Key.
  7. Name it as ProtectedEventLogging.
  8. Right-click on ProtectedEventLogging > New > DWORD (32-bit) Value.
  9. Set the name as EnableProtectedEventLogging.
  10. Double-click on it to set the Value data as 1.
  11. Right-click on ProtectedEventLogging > New > Multi-String Value.
  12. Name it as EncryptionCertificate.
  13. Double-click on it to enter the encryption certificate.
  14. Click the OK button.
  15. Reboot your computer.

Let’s check out these steps in detail.

At first, you need to open the Registry Editor on your computer. For that, press Win+R to display the Run dialog > type regedit > hit the Enter button and click on the Yes option.

Once it is opened, navigate to the following path:

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows

Right-click on Windows > New > Key and name it as EventLog. Then, right-click on the EventLog key > New > Key and set the name as ProtectedEventLogging.

How to enable or disable Protected Event Logging in Windows 11/10

Here you need to create one REG_DWORD value and one Multi-String Value. For that, right-click on the ProtectedEventLogging key > New >REG_DWORD value and enter the name as EnableProtectedEventLogging.

Double-click on it to set the Value data as 1 and click the OK button.

How to enable or disable Protected Event Logging in Windows 11/10

Then, right-click on the ProtectedEventLogging key > New > Multi-String Value and set the name as EncryptionCertificate.

Double-click on it to enter the encryption certificate.

Once done, click the OK button and reboot your computer.

If you want to turn off Protected Event Logging using Registry Editor, you need to delete the REG_DWORD value and Multi-String Value.

TIP: Windows Event Viewer Plus is a portable freeware app that lets you view Event Logs faster than the default in-built Windows Event Viewer and also export the Entry to a text file, select the Web Search Button to look up the entry online, to find out more information or troubleshoot errors.

How do I protect Event Logs?

To protect Event Logs on your Windows 11/10 computer, you need to follow the aforementioned guides. There are two ways to do that – using Local Group Policy Editor and Registry Editor. You can follow either method once you have the encryption key.

What are the five types of Event Logs?

For your information, there are five different types of Event Logs – Information, Error, Success Audit, Warning, and Failure Audit. You can encrypt all kinds of Event Logs with the help of the aforementioned tutorials. You can follow the REGEDIT or the GPEDIT method to get the job done.

That’s all! Hope this guide helped.

Read: How to clear the Event Log in Windows.

Понравилась статья? Поделить с друзьями:

Читайте также:

  • Как изменить журнал вызовов на xiaomi
  • Как изменить заказ на озоне если он создан
  • Как изменить журнал вызовов андроид
  • Как изменить заказ на вайлдберриз после оплаты заказа
  • Как изменить журнал виндовс

  • 0 0 голоса
    Рейтинг статьи
    Подписаться
    Уведомить о
    guest

    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии