Как остановить журнал событий windows 10

В этой публикации, друзья, поговорим о том, как отключить журнал событий Windows. Журнал фиксирует системные события Windows — ошибки, предупреждения, информационные сообщения и другие события (подробно о его функциях). Отключать журнал событий в большинстве случаев нет никакой необходимости. Но он ведёт запись в файлы на диске. И в редких случаях, когда, например, необходима жёсткая экономия ресурса SSD-накопителя, на котором установлена Windows, и нужно убрать любые лишние операции перезаписи данных, можно отключить журнал. Рассмотрим, как это сделать.

Сначала, друзья, пару слов о последствиях отключения журнала событий Windows. Сведения журнала – это информация, необходимая для диагностики неполадок операционной системы. Не всегда с этой диагностики есть толк в решении проблем с Windows. Но главное: на полноценное функционирование операционной системы диагностика никак не влияет. В крайнем случае, если начнутся какие-то повторяющиеся сбои в работе Windows, журнал событий можно включить и определить источник проблемы.

Другой вопрос – способ отключения журнала событий Windows. Простой способ его отключения — отключение его службы. Его можно использовать как временное решение, но не более. Отключение службы журнала событий может привести к тому, что другие службы, зависящие от неё, также перестанут работать. Например, перестанет работать служба сведений о подключённых сетях, отвечающая за определение типа подключения к Интернету и управление профилями сети. Это может вызвать проблемы с интернет-соединением или настройками общего сетевого доступа.

На долгосрочную перспективу журнал событий Windows необходимо отключать способами через редактор локальных групповых политик или системный реестр. Эти способы отключают только запись событий в журнал, а не саму службу журнала. Служба журнала событий продолжает работать в фоновом режиме и обеспечивать связь с другими службами, зависящими от неё.

Итак, временно отключить журнал событий Windows можно путём отключения его службы. Жмём клавиши Win+R, вводим:

В перечне служб находим службу журнала событий Windows (EventLog). Двойным кликом открываем её свойства.

В свойствах выставляем тип запуска «Отключена», жмём «Применить». Затем жмём «Остановить» для остановки службы.

Отключение журнала событий Windows через локальные групповые политики официально возможно в редакциях Windows начиная с Pro. В редакции Home нет штатной возможности работать с групповыми политиками, есть неофициальные сторонние возможности. Ну и в Windows Home можно прибегнуть к способу с редактированием системного реестра, который мы рассмотрим далее.

Запускаем редактор групповых политик. Жмём клавиши Win+R, вводим:

Слева раскрываем путь:

Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Служба журнала событий → Настройка

Справа делаем двойной клик на параметре «Включить ведение журнала».

В окошке параметра выставляем «Отключено» и жмём «Применить».

Всё, отныне новые события более не будут записываться в журнал событий Windows.

Путём правки системного реестра можно отключить журнал событий Windows в любой редакции операционной системы. Жмём клавиши Win+R, вводим:

Раскрываем слева путь:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows

---

Примечание: друзья, в Windows 10 и 11 в редакторе реестра пути можно раскрывать, вставив скопированный адрес в адресную строку и нажав Enter.

---

По указанному пути справа вызываем контекстное меню, выбираем «Создать → Раздел».

Называем новый раздел:

Теперь в этом разделе создаём новый раздел: в контекстном меню снова выбираем «Создать → Раздел». Этот раздел называем:

И теперь в разделе Setup создаём новый параметр реестра. В контекстном меню выбираем «Создать → Строковый параметр». Называем параметр:

Делаем на созданном параметре Enabled двойной клик. Устанавливаем его значение 0.

Перезагружаем компьютер. После перезагрузки новые события более не будут записываться в журнал событий Windows.

---

Друзья, смотрите другие материалы сайта по теме экономии ресурса SSD:

• Перенос системных папок «Temp» на другой раздел или диск,
• Как перенести папки пользователя на другой диск,
• Как перенести файл подкачки на другой диск.

thanks to others for helpful informations, i created a batch script for disabling almost all logs.

Note 1: Gaming service tracing logs needed for Xbox app, so its not included in my script, if you dont use Xbox app simply uninstall it or disable Gaming service and reboot to disable such tracing.

Note 2: UBPM tracing wont disable even if you disable related event logs registry (included in my script). i heard that its bonded into kernel.

Note 3: Script must run as Trustedinstaller to works correctly, otherwise accessing to some keys denied. if you have Nsudo path in your system environment variable, the script runs itself as Trustedinstaller using Nsudo, otherwise you need to manually run script with Nsudo or AdvancedRun or etc as Trustedinstaller.

here is my script for auto find all loggers in registry and disable them (i separated it into 2 parts to make it easier to understand, if you have Nsudo, merge 2 parts into one batch file, otherwise you need to run Part 2 as Trustedinstaller manually):

Part 1) check and run itself as Trustedinstaller

@echo off
setlocal & set runState=user
whoami /groups | findstr /b /c:"Mandatory Label\High Mandatory Level" > nul && set runState=administrator
whoami /groups | findstr /b /c:"Mandatory Label\System Mandatory Level" > nul && set runState=TISYSTEM
echo [42m Running in state: "%runState%" [0m
if "%runState%"=="TISYSTEM" (goto gotTISYSTEM) else (NSudoLG.exe -U:T -P:E -UseCurrentConsole "%~0" %* && exit /b)
:gotTISYSTEM
echo [42m Running as TtustesInstaller.[0m

Part 2) got Trustedinstaller privileges (main job)

@echo off
echo [33m Auto-find and Disable all WMI\AutoLogger [0m
echo [33m find all Auto-Loggers and set Enabled to 0[0m
for /f "usebackq tokens=1*" %%a in (`reg query "HKLM\SYSTEM\CurrentControlSet\Control\WMI\AutoLogger" /s /f "Enabled"^| findstr "HKEY"`) do reg add "%%a %%b" /v "Enabled" /t REG_DWORD /d 0 /f
echo.
echo [33m find all Auto-Loggers and set Start to 0[0m
for /f "usebackq tokens=1*" %%a in (`reg query "HKLM\SYSTEM\CurrentControlSet\Control\WMI\AutoLogger" /s /f "Start"^| findstr "HKEY"`) do reg add "%%a %%b" /v "Start" /t REG_DWORD /d 0 /f
echo.
echo.
echo.
echo [33m Auto-find and Disable all WINEVT [0m
echo [33m find all WINEVT items and set Enabled to 0[0m
for /f "usebackq tokens=1*" %%a in (`reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT" /s /f "Enabled"^| findstr "HKEY"`) do reg add "%%a %%b" /v "Enabled" /t REG_DWORD /d 0 /f
echo.
pause
exit

Extra step: some loggings arennt related to windows (like .Net apps that create some logs into C:\USERS\Your_User_Name\APPDATA\LOCAL\MICROSOFT\CLR_V4.0\USAGELOGS), how we stop such thing? answer: by fooling windows, i learned it from someone in Ntlite forum, just delete that folder (for example USAGELOGS), then create new text document but without extension and then rename it to that folder name, windows thinks that folder is existed so prevents you and apps from creating new folder with that name so apps cant create logs into that folder

im trying to create a script for this part too, i will update my post when it’s ready.

Update1: Use new script here to avoid issue that breaks Ethernet network adapter when you disable/enable it. If you dont use Ethernet or dont disable it (always on), you can still use the old script to even suppress loggers more.

В процессе работы Windows постоянно ведёт запись различных системных событий в файлы журналов, которые можно просмотреть с помощью утилиты «Просмотр событий». Сами по себе журналы не занимают много места на диске, но общее количество операций записи на продолжительном отрезке времени значительно и потенциально может влиять на общий ресурс дисков, особенно SSD. При желании, запись событий в журнал можно отключить.

В этой инструкции подробно о способах отключить журнал событий полностью или частично для отдельных событий, очистить его и дополнительная информация, которая может быть полезной.

Самый очевидный и простой способ отключить журнал событий — отключение соответствующей службы, однако у этого способа есть минусы:

• От указанной службы зависят и другие службы, в частности могут возникнуть проблемы с работой планировщика заданий, службами сведений о подключенных сетях, списка сетей и автоматической настройки сетевых устройств.
• Полное отключение журнала событий может быть не лучшим вариантом: собираемые в журналах сведения о сбоях могут быть полезными для диагностики проблем с работой системы.

Список зависимостей службы отличается в разных версиях Windows: в Windows 11 проблем после отключения службы «Журнал событий» вы вероятнее всего не заметите, а в Windows 10 они могут быть.

Для того, чтобы отключить службу «Журнал событий Windows» (чего я не рекомендую) вы можете использовать оснастку «Службы»:

1. Нажмите клавиши Win+R на клавиатуре, введите services.msc и нажмите Enter.
2. В списке служб найдите «Журнал событий Windows» и дважды нажмите по этой службе.
3. Нажмите кнопку «Остановить», измените тип запуска на «Отключена» и нажмите «Ок».

Добавить в заметки чтобы посмотреть позже?

Ещё один способ — запустить командную строку от имени администратора и по порядку использовать следующие команды:

net stop eventlog
sc config eventlog start= disabled

Это полностью отключит ведение журнала событий, но, при возникновении проблем с работой других системных служб не забудьте, что, возможно, они были вызваны описанными действиями.

Отключение записи отдельных событий или выбранных журналов

Вместо отключения журнала событий полностью, вы можете отключить запись лишь отдельных событий — тех, которые записываются чаще всего, при этом не несут полезной информации для большинства пользователей.

Прежде всего — это события «Аудит успеха» в журнале «Безопасность». Для отключения записи этих событий в командной строке от имени администратора используйте одну из следующих команд (первая — для русскоязычной версии Windows, вторая — для англоязычной или переведенной на русский язык путем установки языкового пакета):

auditpol /set /subcategory:"Подключение платформы фильтрации" /success:disable /failure:enable
auditpol /set /subcategory:"Filtering Platform Connection" /success:disable /failure:enable

Указанные команды отключат запись событий типа «Успех», но оставят запись событий «Отказ». Аналогичным образом возможно отключение событий других подкатегорий, полный список подкатегорий можно получить с помощью команды auditpol /list /subcategory:*

Следующая возможность — отключение записи определенных событий по их GUID, шаги будут следующими (пример для журнала «Система»):

1. В просмотре событий (Win+R — eventvwr.msc) найдите событие, запись которых нужно отключить, на вкладке «Подробности» включите режим XML, здесь нам потребуется значение параметра GUID.
2. В редакторе реестра (Win+R — regedit) перейдите к разделу

   HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlWMIAutologgerEventLog-System

3. В этом разделе выберите подраздел с именем, совпадающим с GUID из первого шага, дважды нажмите по параметру с именем Enabled и установите значение 0 для него, повторите то же самое для параметра EnableProperty
4. Закройте редактор реестра и перезагрузите компьютер.

И ещё один метод для журналов приложений, на примере журнала WFP (который у многих пользователей постоянно пишется с большой интенсивностью):

1. В Просмотре событий откройте «Журналы приложений» и перейдите к нужному журналу, например: Microsoft — Windows — WFP — Operational
2. Нажмите правой кнопкой мыши по журналу и выберите пункт «Отключить журнал».

Отдельно по журналу wfpdiag.etl: ещё одна возможность отключения — команда

netsh wfp set options netevents = off

Очистка журнала событий

Файлы журналов событий располагаются в папках

C:WindowsSystem32winevtLogs
C:WindowsSystem32LogFiles

И некоторых других расположениях, например — C:ProgramDataMicrosoftWindowswfp

Очистка вручную путем удаления файлов нежелательна и не всегда удобна. Вы можете:

1. Использовать опцию «Очистить журнал» для соответствующего журнала в «Просмотре событий» в контекстном меню журнала или его свойствах.
2. Использовать одну из команд (первая — для командной строки, вторая — для PowerShell, в обоих случаях требуется запуск от имени администратора):

   for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
   Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }

Если остаются вопросы по журналам событий в Windows, задавайте их в комментариях — не исключено что я или кто-то из читателей сможет подсказать.

В этой статье мы рассмотрим возможность отключения журнала событий Windows 10 и рассмотрим последствия этой операции. Также вы узнаете, каким образом можно отключить журнал событий и зачем он нужен. В конце статьи представлены полезные советы и выводы.

1. Что случится, если отключить журнал событий Windows
2. Как отключить журнал событий Windows
3. Зачем нужен журнал событий
4. Как снять журнал событий
5. Полезные советы и выводы

Что случится, если отключить журнал событий Windows

Отключение журнала событий Windows может иметь некоторые проблемы и последствия. Во-первых, вы не сможете использовать функции на устройстве, которые зависят от журнала событий, например, временную шкалу. Тем не менее, вам по-прежнему будет доступен просмотр журнала браузера в Microsoft Edge.

Как отключить журнал событий Windows

Для отключения службы «Журнал событий Windows» нужно выполнить следующие действия:

1. Нажмите клавиши Win+R на клавиатуре.
2. Введите services.msc и нажмите Enter.
3. В открывшемся списке служб найдите «Журнал событий Windows» и дважды нажмите на эту службу.
4. Нажмите кнопку «Остановить».
5. Измените тип запуска на «Отключена».
6. Нажмите «Ок», чтобы сохранить изменения.

Зачем нужен журнал событий

Журнал событий (Event Log) является стандартным способом для записи и централизованного хранения информации о важных программных и аппаратных событиях в операционной системе Windows. Он позволяет отслеживать и анализировать различные события, происходящие на компьютере.

Как снять журнал событий

Если вам нужно очистить журнал событий Windows, вы можете воспользоваться средством просмотра событий. Для этого выполните следующие действия:

1. В строке поиска или в меню «Выполнить» (Win+R) введите eventvwr и нажмите Enter.
2. Откройте «Журнал Windows» и выберите нужный журнал, который вы хотите очистить.
3. Щелкните правой кнопкой мыши на выбранном журнале и выберите «Очистить журнал».

Полезные советы и выводы

• Отключение журнала событий Windows 10 может вызвать проблемы с использованием некоторых функций на устройстве, поэтому перед выполнением данной операции рекомендуется внимательно взвесить все плюсы и минусы.
• Журнал событий Windows играет важную роль в отслеживании и анализе различных событий, происходящих на компьютере, поэтому отключение этой функции может затруднить обнаружение и устранение проблем.
• Если вам все же необходимо очистить журнал событий Windows, используйте средство просмотра событий и следуйте указанным выше шагам.

Надеемся, что данная статья помогла вам разобраться с отключением журнала событий Windows 10 и принять взвешенное решение. Если у вас остались вопросы или комментарии, не стесняйтесь задать их внизу.