Как отключить ведение журнала windows 10

thanks to others for helpful informations, i created a batch script for disabling almost all logs.

Note 1: Gaming service tracing logs needed for Xbox app, so its not included in my script, if you dont use Xbox app simply uninstall it or disable Gaming service and reboot to disable such tracing.

Note 2: UBPM tracing wont disable even if you disable related event logs registry (included in my script). i heard that its bonded into kernel.

Note 3: Script must run as Trustedinstaller to works correctly, otherwise accessing to some keys denied. if you have Nsudo path in your system environment variable, the script runs itself as Trustedinstaller using Nsudo, otherwise you need to manually run script with Nsudo or AdvancedRun or etc as Trustedinstaller.

here is my script for auto find all loggers in registry and disable them (i separated it into 2 parts to make it easier to understand, if you have Nsudo, merge 2 parts into one batch file, otherwise you need to run Part 2 as Trustedinstaller manually):

Part 1) check and run itself as Trustedinstaller

@echo off
setlocal & set runState=user
whoami /groups | findstr /b /c:"Mandatory Label\High Mandatory Level" > nul && set runState=administrator
whoami /groups | findstr /b /c:"Mandatory Label\System Mandatory Level" > nul && set runState=TISYSTEM
echo [42m Running in state: "%runState%" [0m
if "%runState%"=="TISYSTEM" (goto gotTISYSTEM) else (NSudoLG.exe -U:T -P:E -UseCurrentConsole "%~0" %* && exit /b)
:gotTISYSTEM
echo [42m Running as TtustesInstaller.[0m

Part 2) got Trustedinstaller privileges (main job)

@echo off
echo [33m Auto-find and Disable all WMI\AutoLogger [0m
echo [33m find all Auto-Loggers and set Enabled to 0[0m
for /f "usebackq tokens=1*" %%a in (`reg query "HKLM\SYSTEM\CurrentControlSet\Control\WMI\AutoLogger" /s /f "Enabled"^| findstr "HKEY"`) do reg add "%%a %%b" /v "Enabled" /t REG_DWORD /d 0 /f
echo.
echo [33m find all Auto-Loggers and set Start to 0[0m
for /f "usebackq tokens=1*" %%a in (`reg query "HKLM\SYSTEM\CurrentControlSet\Control\WMI\AutoLogger" /s /f "Start"^| findstr "HKEY"`) do reg add "%%a %%b" /v "Start" /t REG_DWORD /d 0 /f
echo.
echo.
echo.
echo [33m Auto-find and Disable all WINEVT [0m
echo [33m find all WINEVT items and set Enabled to 0[0m
for /f "usebackq tokens=1*" %%a in (`reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT" /s /f "Enabled"^| findstr "HKEY"`) do reg add "%%a %%b" /v "Enabled" /t REG_DWORD /d 0 /f
echo.
pause
exit

Extra step: some loggings arennt related to windows (like .Net apps that create some logs into C:\USERS\Your_User_Name\APPDATA\LOCAL\MICROSOFT\CLR_V4.0\USAGELOGS), how we stop such thing? answer: by fooling windows, i learned it from someone in Ntlite forum, just delete that folder (for example USAGELOGS), then create new text document but without extension and then rename it to that folder name, windows thinks that folder is existed so prevents you and apps from creating new folder with that name so apps cant create logs into that folder

im trying to create a script for this part too, i will update my post when it’s ready.

Update1: Use new script here to avoid issue that breaks Ethernet network adapter when you disable/enable it. If you dont use Ethernet or dont disable it (always on), you can still use the old script to even suppress loggers more.

Windows 10 собирает историю выполненных Вами действий, включая файлы, которые Вы открывали, и веб-страницы, которые Вы просматривали в Edge. Вы можете отключить функцию журнала действий и удалить действия.

Журнал действий был добавлен в обновлении Windows 10 за апрель 2018 г. Он может синхронизировать Ваши действия между Вашими компьютерами, но Вы должны включить функцию синхронизации. По умолчанию Windows хранит историю Ваших действий на Вашем компьютере.

Эта опция находится в приложении «Параметры». Нажмите кнопку «Пуск», а затем щелкните значок «Параметры» (или нажмите Windows + I на клавиатуре), чтобы открыть их.

Выберите «Конфиденциальность» в окне настроек.

Выберите параметр «Журнал действий» в разделе разрешений Windows на боковой панели, а затем снимите флажок «Сохранить мой журнал активности на этом устройстве». Windows больше не будет собирать новые действия для журнала.

Даже после того, как Вы отключите сбор действий, Windows по-прежнему показывает действия, которые она ранее собирала в журнале действий.

Чтобы предотвратить синхронизацию действий с Вашим компьютером, переключите учетную запись Microsoft, которая отображается в разделе «Показывать действия с этих учетных записей» в положение «Откл.».

Чтобы удалить все существующие действия из журнала действий, нажмите кнопку «Очистить» в разделе «Очистка журнала действий».

Журнал действий исчезнет из интерфейса представления задач после выполнения вышеуказанных шагов.

Существует расхожее мнение, что увеличить производительность системы и продлить срок службы SSD можно, если отключить ведение журнала событий, который, как известно, пишется постоянно. Мнение совершенно необоснованное, так как ни того, ни другого отключением журнала вы не добьетесь, зато точно лишите себя диагностической информации, которая может сыграть ключевую роль в устранении ряда неполадок.

Иметь смысл может отключение разве что некоторых журналов, в первую очередь тех из них, записи которых не представляют особой ценности для пользователя. Такие логи можно отключить средствами самой оснастки eventvwr.msc. К ним относятся журналы раздела «Журналы приложений и служб».

Заходим в этот раздел и проверяем, доступна ли для выбранного лога опция «Отключить журнал» в его контекстном меню.

Если да, журнал можно отключить.

Что касается других журналов, опция их отключения имеется в окне их свойств, но при этом она неактивна, а как ее активировать, не совсем понятно.

Возможно, в реестре для этого имеется соответствующий параметр, но пока его найти нам не удалось.

Отключение отдельных записей

Также вы можете отключить запись для отдельных событий, используя их идентификаторы. Для этого сначала откройте свойства события, запись которого хотите предотвратить, перейдите на вкладку «Подробности», переключитесь в режим представления XML и запишите GUID события.

Затем откройте редактор реестра командой regedit и разверните ветку:

HKLM\SYSTEM\CurrentControlSet\Control\WMI\Autologger

В зависимости от того, работаете ли вы с записью в журнале «Приложение»/«Установка», «Безопасность» или «Система», выберите  в каталоге Autologger подраздел EventLog-Application, EventLog-Security или EventLog-System.

Отыщите в нем вложенный подраздел, название которого соответствует скопированному GUID.

Зайдите в него, найдите в нем параметры Enabled,

и EnableProperty и установите в качестве их значений 0 вместо заданного по умолчанию 1.

Настройки вступят в силу после перезагрузки компьютера.

Существует и более жесткий способ запретить Windows писать в отдельные журналы, причем практически в любые.

Для этого нужно забрать у системы права доступа к выбранному файлу журнала .EVTX в папке %windir%\System32\winevt\Logs, но будет все же лучше, если вы воздержитесь от таких решений.

В этой публикации, друзья, поговорим о том, как отключить журнал событий Windows. Журнал фиксирует системные события Windows — ошибки, предупреждения, информационные сообщения и другие события (подробно о его функциях). Отключать журнал событий в большинстве случаев нет никакой необходимости. Но он ведёт запись в файлы на диске. И в редких случаях, когда, например, необходима жёсткая экономия ресурса SSD-накопителя, на котором установлена Windows, и нужно убрать любые лишние операции перезаписи данных, можно отключить журнал. Рассмотрим, как это сделать.

Сначала, друзья, пару слов о последствиях отключения журнала событий Windows. Сведения журнала – это информация, необходимая для диагностики неполадок операционной системы. Не всегда с этой диагностики есть толк в решении проблем с Windows. Но главное: на полноценное функционирование операционной системы диагностика никак не влияет. В крайнем случае, если начнутся какие-то повторяющиеся сбои в работе Windows, журнал событий можно включить и определить источник проблемы.

Другой вопрос – способ отключения журнала событий Windows. Простой способ его отключения — отключение его службы. Его можно использовать как временное решение, но не более. Отключение службы журнала событий может привести к тому, что другие службы, зависящие от неё, также перестанут работать. Например, перестанет работать служба сведений о подключённых сетях, отвечающая за определение типа подключения к Интернету и управление профилями сети. Это может вызвать проблемы с интернет-соединением или настройками общего сетевого доступа.

На долгосрочную перспективу журнал событий Windows необходимо отключать способами через редактор локальных групповых политик или системный реестр. Эти способы отключают только запись событий в журнал, а не саму службу журнала. Служба журнала событий продолжает работать в фоновом режиме и обеспечивать связь с другими службами, зависящими от неё.

Итак, временно отключить журнал событий Windows можно путём отключения его службы. Жмём клавиши Win+R, вводим:

В перечне служб находим службу журнала событий Windows (EventLog). Двойным кликом открываем её свойства.

В свойствах выставляем тип запуска «Отключена», жмём «Применить». Затем жмём «Остановить» для остановки службы.

Отключение журнала событий Windows через локальные групповые политики официально возможно в редакциях Windows начиная с Pro. В редакции Home нет штатной возможности работать с групповыми политиками, есть неофициальные сторонние возможности. Ну и в Windows Home можно прибегнуть к способу с редактированием системного реестра, который мы рассмотрим далее.

Запускаем редактор групповых политик. Жмём клавиши Win+R, вводим:

Слева раскрываем путь:

Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Служба журнала событий → Настройка

Справа делаем двойной клик на параметре «Включить ведение журнала».

В окошке параметра выставляем «Отключено» и жмём «Применить».

Всё, отныне новые события более не будут записываться в журнал событий Windows.

Путём правки системного реестра можно отключить журнал событий Windows в любой редакции операционной системы. Жмём клавиши Win+R, вводим:

Раскрываем слева путь:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows

---

Примечание: друзья, в Windows 10 и 11 в редакторе реестра пути можно раскрывать, вставив скопированный адрес в адресную строку и нажав Enter.

---

По указанному пути справа вызываем контекстное меню, выбираем «Создать → Раздел».

Называем новый раздел:

Теперь в этом разделе создаём новый раздел: в контекстном меню снова выбираем «Создать → Раздел». Этот раздел называем:

И теперь в разделе Setup создаём новый параметр реестра. В контекстном меню выбираем «Создать → Строковый параметр». Называем параметр:

Делаем на созданном параметре Enabled двойной клик. Устанавливаем его значение 0.

Перезагружаем компьютер. После перезагрузки новые события более не будут записываться в журнал событий Windows.

---

Друзья, смотрите другие материалы сайта по теме экономии ресурса SSD:

• Перенос системных папок «Temp» на другой раздел или диск,
• Как перенести папки пользователя на другой диск,
• Как перенести файл подкачки на другой диск.

Журнал событий опытные пользователи зачастую используют для решения проблем возникших в операционной системе Windows 10. В журнал событий вносятся данные о всех происходящих событиях в операционной системе. До таких событий относятся информационные сообщения, предупреждения программ, данные о работе пользователей.

Данная статья расскажет как посмотреть, открыть, очистить журнал событий Windows 10. Журнал событий был разработан для опытных пользователей с целью получения возможности полноценного управления операционной системой. Именно поэтому новичкам будет немного сложно разобраться, а системные администраторы легко используют данный инструмент.

Большинство действий пользователя в системе попадают в журнал событий операционной системы. Многие пользователи даже не догадываются о таком инструменте, который также позволяет исправлять множество ошибок. Файлы журнала сохраняются на системном диске по пути: C:\ Windows\ System32\ winevt\ Logs. Но не достаточно знать где хранятся данные журнала, поскольку для их просмотра нужно использовать классическое приложение просмотра событий.

1. Открываем стандартную панель управления выполнив команду control panel в окне Win+R.
2. Дальше переходим в Администрирование и выбираем Просмотр событий.

К альтернативным способам открытия журнала событий можно отнести запуск классического приложения eventvwr.exe или eventvwr.msc просмотра событий на системном диске по пути: C:\ Windows\ system32, а также поиск приложения просмотр событий в окне поиска Windows 10 или же простое выполнение команды eventvwr.msc в окне Win+R.

Как очистить журнал событий в Windows 10

Очистить журнал событий в Windows 10 можно несколькими эффективными способами. До таких способов отнесем выполнение одной команды в командной стройке или же в оболочке Windows PowerShell, а также простое удаление событий прямо с журнала. Новичкам рекомендуем использовать только классическое приложение просмотр событий.

После открытия журнала достаточно нажать правой кнопкой мыши на категорию, журнал которой необходимо очистить и в контекстном меню выбираем пункт Очистить журнал… В открывшемся окне подтверждаем очистку журнала нажав кнопку Очистить.

Командная строка

1. Запускаем командную строку от имени администратора любым из способов рассмотренных нами ранее.
2. Копируем, вставляем и выполняем следующую команду: or /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

Windows PowerShell

1. Запускаем оболочку Windows PowerShell от имени администратора.
2. Выполняем следующую команду: wevtutil el | Foreach-Object {wevtutil cl «$_»}

Как отключить журнал событий Windows 10

Ранее мы смотрели, как открыть службы в Windows 10. Здесь также есть возможность отключить службу журнала событий Windows 10. И тогда уже после перезагрузки компьютера данные не будут записываться в журнал и пользователь не сможет посмотреть журнал событий в будущем. Поэтому отключать журнал событий не рекомендуется, хоть такая возможность и есть.

1. Открываем окно служб выполнив команду services.msc в окне Win+R.
2. Среди списка доступных служб находим Журнал событий Windows и в контекстном меню которого выбираем Свойства.
3. В открывшемся окне изменяем типу запуска службы EventLog на Отключена и нажмите ОК.

Эта служба управляет событиями журнала событий. Она поддерживает регистрацию и запрос событий, подписку на события, архивацию журналов и управление метаданными событий. После перезапуска компьютера изменения вступят в силу. А именно служба журнала событий не будет запускаться в автоматическом режиме. Обратите внимание, что остановка службы журнала событий Windows может снизить безопасность и надежность системы в целом.

Заключение

Журнал событий для обычного пользователя по сути не нужен. Только человеку хорошо разбирающемся в операционной системе Windows 10 по силе разгадать коды ошибок появляющихся в журнале. Но попытать удачи и посмотреть журнал событий в нужной ситуации может попытаться любой, вдруг действительно это поможет решить проблему в системе.

(3 оценок, среднее: 4,33 из 5)