Система файлы журналов windows что это

Что такое журнал событий Windows?

Журналы событий это специальные файлы в которые система и приложения записывают значимые для вашего компьютера события,
такие как события входа пользователей в систему или ошибки, возникающие при работе приложений.
Когда возникают подобные типы событий, система Windows создает записи в журналах событий.
В детальных описаниях событий пользователи могут найти информацию, полезную для устранения неисправностей, обнаружения причин проблем с
системой, приложениями, оборудованием компьютера.

Журналы событий Windows это не текстовые файлы (не как UNIX syslog) и их нельзя просматривать и исследовать простыми текстовыми редакторами.
Журналы событий Windows это бинарные файлы специального формата, похожие на файлы баз данных, состоящие из специальных записей — событий Windows.

Microsoft Windows запускает специальную службу (сервис) Журнал событий Windows для обслуживания задач, связанных с журналами событий — управления журналами событий,
записью новых событий в журналы, обслуживанием запросов на чтение данных из журналов и т.п.
Служба Журнал событий Windows предоставляет специальное API, которое позволяет приложениям работать с журналами событий.

Регистрация событий как стандартный системный механизм обеспечения безопасности и отказоустойчивости появилась в версии Microsoft Windows NT 3.1 в 1993 году.
Начиная с этой версии в любой Windows присутствуют 3 основных журнала — журнал Приложения, журнал Система и журнал Безопасность.
В современных версиях Windows и Windows Server число журналов может превышать сотню, так как теперь и приложения могут создавать свои собственные журналы, интегрированные в систему регистрации событий Windows.

Как просматривать журналы событий?

Просматривать и исследовать события Windows можно стандартным приложением Проосмотр событий или специальными программами, поставляемыми независимыми разработчиками.
Мы рекомендуем использовать нашу программу Event Log Explorer, которая дает существенно больше возможностей, чем стандартное приложение Просмотр событий.

Преимущества Event Log Explorer для администрирования IT-инфраструктуры и расследований инцидентов

Преимущества Event Log Explorer для руководителей

Что такое служба «Журнал событий Windows»?

Служба (сервис) «Журнал событий Windows» — это специальная служба (сервис) для управления событиями и журналами событий.
Она поддерживает выполнение операций записи новых событий, чтения событий приложениями, подписки на событий, резервного копирования и архивирования журналов событий и т.п.
По умолчанию, после установки системы Windows служба «Журнал событий Windows» включена и запускается автоматически.
Не стоит останавливать или выключать эту службу.
Остановка службы «Журнал событий Windows» может ухудшить стабильность и безопасность системы.

Что такое файлы журналов событий Windows?

Журналы событий Windows хранятся в специальных файлах с системном каталоге Windows.
Служба (сервис) «Журнал событий Windows» позволяет пользователям сохранять журналы и делать резервные копии журналов в файлы.
Windows NT, 2000 и XP/Server 2003 хранят журналы событий в файлах EVT формата.
Windows Vista/Server 2008 и более новые системы хранят журналы событий в EVTX формате.
Анализ файлов журналов событий и их резервных копия является основой расследования различных инцидентов.

Рабочие версии файлов журналов событий Windows обычно заблокированы системой, точнее службой «Журнал событий Windows» и их невозможно непосредственно открыть на живой, работающей системе.
Но если компьютер будет загружен другой системой с другого диска, то рабочие файлы журналов системы можно открыть или скопировать.
Также их можно скопировать или открыть, если подключить системный диск к другому компьютеру.
По умолчанию, файлы журналов событий Windows Vista/Server 2008 хранятся в каталоге

«C:\Windows\System32\winevt\Logs\»

Открыть файл журнала событий в приложении Просмотр событий Windows можно выполнив следующие шаги:

Запустите приложение Просмотр событий.

Нажмите «Открыть сохраненный журнал» в панели «Действия», расположенной в правой части окна.

Найдите и выберите нужный вам файл в списке файлов, нажмите кнопку «Открыть» и его содержимое отобразиться в области просмотра событий в приложении.

Наша программа Event Log Explorer также работает с файлами журналов событий и работает лучше, чем «Просмотр событий».
Например, в Event Log Explorer вы можете прочитать данные даже из поврежденных файлов журналов событий.

Что такое журнал событий Приложения?

Журнал событий Приложений содержит события, сгенерированные приложениями, а не системой.
Например, сервер базы данных может записывать ошибки, возникающие при его работе в журнал приложений.
Разработчики программ сами решают какие события имеет смысл протоколировать в журнале событий Приложения.
Например, Microsoft SQL Server протоколирует подробную информцию о важных аварийных ситуациях
возникающих при работе SQL-сервера, таких как «недостаточно памяти», «сбой при резервном копировании базы данных» и т.д.
При этом события, сгенерированные разными приложениями, попадают в единый журнал приложений.
Приложения идентифицируются как разные «источники» в базовом свойстве событий.
Поэтому несложно выделить события конкретного приложения.
Также стоит учитывать что ID события (код события) тоже определяется приложением, сгенерировавшим событие и коды могут дублироваться
для разных источников. Таким образом события определенного типа идентифицируются и источником и кодом, а не только кодом, как для других
журналов, например для журнала Безопасность.

Что такое журнал событий Система?

Журнал событий Система содержит события, сгенерированные системными компонентами.
Например, отказы драйверов или других системных компонентов при запуске системы записываются в системный журнал событий.
Типы и коды событий системных компонентов предопределены разработчиками операционной системы Windows.
Аналогично журналу приложений, системный журнал содержит события из разных источников (системных компонентов) и следует
учитывать что конкретные события идентифицируются не только кодом, но источником.
Журнал событий Система — важный источник информации при поиске причин отказов и проблем системными администраторами и техническими специалистами.

Что такое журнал событий Безопасность?

Журнал событий Безопасность содержит события, влияющие на безопасность системы. Это попытки (иудачные и неудачные) входа в аккаунты системы, использование ресурсов (файлов, реестра, устройств), управление учетными записями, изменения прав и привилегий аккаунтов, запуск и остановка процессов (программ) и т.д.
Администратор может сконфигурировать какие категории событий необходимо регистрировать.
Например, по умолчанию система сконфигурирована регистрировать события управления учетными записями, события входа в систему, а аудит доступа к объектам не включен.
Стоит быть осторожным при настройке аудита доступа к файлам, то это может привести к появлению большого количества событий, что в свою очередь может
негативно отразиться на общей производительности системы и быстрому переполнению журнала безопасности.
Подробнее про аудит событий безопасности можно прочесть тут.
Запись в журнал безопасности производится только системными компонентам, коды событий однозначно идентифицируют события.
Журнал событий Безопасность является важным источником информации при расследовании инцидентов нарушения безопасности и его анализ актуален
для администраторов безопасности, специалистов по информационной безопасности и специалистов по цифровой криминалистической экспертизе.

Источник

Система файлов журналов – это важная составляющая операционной системы Windows, отвечающая за фиксацию всех изменений, произведенных в файловой системе. Она позволяет отслеживать и восстанавливать данные о действиях пользователей и программ на компьютере. Система файлов журналов играет роль своего рода «черного ящика», сохраняющего информацию о всех операциях с файлами и позволяющего отследить изменения и вмешательства в работу системы.

Основное назначение системы файлов журналов – обеспечить целостность данных и контроль доступа к ним. Журналирование позволяет записывать каждое действие с файлом – его создание, изменение, перемещение, удаление и другие операции. Все эти действия фиксируются в журнале, который можно просмотреть в случае возникновения неполадок или подозрения на вмешательство в работу компьютера.

Система файлов журналов Windows доступна в операционных системах начиная с Windows 2000 и с тех пор активно используется для защиты и контроля файловой системы. Сложность современных атак и вирусов наглядно демонстрирует потребность в эффективной системе контроля и восстановления данных. Да и в случае удаления или потери файлов, функции системы файлов журналов позволяют восстановить измененные данные по определенной точке во времени.

Кроме того, система файлов журналов облегчает процесс резервного копирования и восстановления данных. Информация в журнале позволяет операционной системе восстановить файлы и директории в случае сбоев или ошибочного удаления. Такая функция может быть особенно ценна, если в процессе работы компьютера произошла сбойная ошибка или была запущена вредоносная программа.

Содержание

Основные принципы работы системы
Предназначение и назначение журналов Windows
Преимущества использования системы файлов журналов Windows
Типы журналов в системе файлов журналов Windows
Функции и особенности работы с системой файлов журналов Windows

Основные принципы работы системы

Журнал событий — это специальный файловый контейнер, в котором записываются различные события, происходящие на компьютере или в операционной системе.
Система файлов журналов Windows обладает высокой производительностью и надежностью, обеспечивая непрерывное функционирование операционной системы.
Основными принципами работы системы являются централизация и структурирование информации. Журналы событий группируются по источникам событий и уровню важности, что упрощает их анализ и позволяет оперативно реагировать на возникающие проблемы.
Система файлов журналов Windows предоставляет различные механизмы оповещения о событиях, включая email-уведомления и запуск задач в ответ на определенные события.
Журналы событий могут содержать информацию о различных типах событий, включая ошибки, предупреждения, информационные сообщения, а также события, связанные с безопасностью компьютера.

Общая структура системы файлов журналов Windows позволяет эффективно контролировать и анализировать работу операционной системы, находить и устранять ошибки, повышать безопасность компьютера и оптимизировать его производительность.

Предназначение и назначение журналов Windows

Журналы Windows представляют собой специальные файлы, в которых хранится информация о различных событиях, происходящих в операционной системе. Эти журналы служат для отслеживания и регистрации различных событий, таких как ошибки, предупреждения, информационные сообщения и другие действия, происходящие в системе.

Назначение журналов Windows состоит в том, чтобы облегчить процесс анализа и устранения проблем, связанных с работой операционной системы. При возникновении ошибок или других неполадок в системе, информация о таких событиях записывается в журналы, что позволяет специалистам провести анализ и выявить причину проблемы. Также, журналы Windows могут использоваться для контроля и мониторинга работы системы, а также для отслеживания изменений, сделанных пользователями или приложениями.

Преимущества использования системы файлов журналов Windows

Система файлов журналов Windows (NTFS) имеет ряд преимуществ, которые делают ее предпочтительной для использования на компьютерах под управлением Windows:

Надежность: NTFS обеспечивает высокую степень надежности данных. Она использует журнальную структуру, которая позволяет восстанавливать данные после сбоев системы. Если происходит неожиданное отключение питания или сбой системы, NTFS может восстановить целостность файловой системы и минимизировать потерю данных.
Безопасность: NTFS имеет встроенные функции безопасности, которые позволяют управлять доступом к файлам и папкам на уровне пользователя или группы. Это позволяет администраторам давать разные права доступа для разных пользователей и обеспечивать безопасность конфиденциальных данных.
Поддержка больших объемов данных: NTFS может обрабатывать большие объемы данных и имеет ограничения на размер файла и раздела, которые значительно превышают ограничения других файловых систем, таких как FAT32. Это позволяет использовать NTFS для хранения и управления большими файлами и объемами данных.
Мощные функции: NTFS обладает множеством дополнительных функций, таких как сжатие данных, шифрование, журналирование изменений, альтернативные потоки данных и другие. Эти функции позволяют более эффективно управлять данными, обеспечивать их безопасность и оптимизировать использование дискового пространства.
Совместимость: NTFS совместима с предыдущими версиями Windows, что позволяет использовать диски с файловой системой NTFS на различных компьютерах под управлением Windows без проблем. Это также обеспечивает легкую миграцию с более старых версий файловых систем, таких как FAT32, на NTFS.

Эти преимущества делают систему файлов журналов Windows незаменимой для обеспечения надежности, безопасности и эффективности работы с данными на компьютерах под управлением Windows.

Типы журналов в системе файлов журналов Windows

Система файлов журналов Windows предлагает несколько типов журналов, которые документируют различные аспекты работы операционной системы. Каждый тип журнала вносит свой вклад в обеспечение надежности и безопасности системы.

Журнал событий (Event Log) является наиболее популярным и полезным типом журнала. Он регистрирует информацию о различных событиях, происходящих в системе, таких как ошибки, предупреждения, информационные сообщения и успешные операции. Журнал событий позволяет администраторам операционной системы отслеживать и анализировать происходящие изменения и проблемы.

Журнал безопасности (Security Log) фиксирует события, связанные с безопасностью системы. Он содержит информацию о попытках несанкционированного доступа к системе, а также о действиях пользователей, включая вход в систему, выход из нее, запуск и закрытие программ и другие события, связанные с безопасностью. Журнал безопасности позволяет администраторам обнаруживать и реагировать на потенциальные угрозы и нарушения безопасности.

Журнал приложений (Application Log) содержит информацию о действиях и событиях, происходящих в различных приложениях, запущенных в системе. Этот тип журнала позволяет отслеживать работу приложений, находить ошибки и проблемы, а также настраивать мониторинг определенных приложений.

Журнал служб (Service Log) ведет отчет о действиях и событиях, связанных с службами операционной системы. Службы представляют собой программы, выполняющие заданные функции в фоновом режиме. Журнал служб помогает администраторам отслеживать и анализировать работу служб, а также обнаруживать и устранять возможные проблемы.

Другие журналы (Other Logs) — это специализированные журналы, которые могут создаваться для отслеживания определенных событий или действий, связанных с программами или сервисами, установленными в системе.

Кажется, что использование различных типов журналов в системе файлов журналов Windows обеспечивает полный контроль над операционной системой и позволяет оперативно реагировать на события, происходящие в системе.

Функции и особенности работы с системой файлов журналов Windows

Система файлов журналов Windows предлагает множество функций и особенностей, которые позволяют эффективно работать со журналами событий операционной системы. Ниже перечислены некоторые из них:

Функция	Описание
Централизованное хранение данных	Система файлов журналов Windows предоставляет централизованное хранение и управление журналами событий операционной системы. Это позволяет упростить процесс анализа и отслеживания событий, происходящих на компьютере.
Автоматическое создание резервных копий	Система файлов журналов Windows автоматически создает резервные копии журналов событий. Это обеспечивает сохранность данных и упрощает восстановление информации в случае непредвиденных ситуаций или сбоев.
Фильтрация и сортировка событий	При работе с системой файлов журналов Windows доступна функция фильтрации и сортировки событий. Это позволяет быстро находить нужные события и упрощает анализ информации.
Автоматическая архивация событий	Система файлов журналов Windows автоматически архивирует старые события, освобождая место на диске. Это увеличивает производительность и эффективность работы системы.
Защита от несанкционированного доступа	Система файлов журналов Windows предоставляет механизмы защиты данных от несанкционированного доступа. Это включает контроль доступа к журналам, шифрование информации и множество других мер безопасности.

Особенности работы с системой файлов журналов Windows делают ее мощным инструментом для мониторинга и анализа событий операционной системы. При правильной настройке и использовании данной системы, можно значительно повысить эффективность работы и безопасность компьютера.

Источник

В журналах событий Windows хранится полезная информация, которая нужна при анализе состояния служб и приложений в Windows, отладки ошибок и аварийный ситуаций, аудите различных событий безопасности. По умолчанию для журналов Event Viewer в Windows заданы максимальные размеры, при достижении которых новые события начинают перезаписывать более старые. Если на вход Event Viewer попадает слишком большое количество событий, может случится, что в журнал помещаются события лишь за последние несколько часов, что может быть не достаточно.

Чтобы предотвратить перезапись старых событий и всегда иметь под рукой события за достаточно большой промежуток времени, вы можете увеличить максимальный размер журналов Event Viewer.

Содержание:

Получить информацию о журналах событий Windows с помощью PowerShell
Изменить размер журнала событий из консоли Event Viewer
Увеличить размер журнала событий Windows через GPO

Получить информацию о журналах событий Windows с помощью PowerShell

Файлы журналы событий Windows хранятся в каталог
%SystemRoot%\System32\Winevt\Logs\
в виде файлов с расширением .EVTX. Обратите внимание, что для каждого журнала используется собственный файл. Соответственно, вы можете управлять размерами только того лога Windows, который вам нужен и оставить остальные значения по-умолчанию.

$evtx файлы журналов событий в каталоге Winevt\Logs\$

Текущие лимиты на все включенные журналы событий в Windows можно вывести с помощью PowerShell:

Get-Eventlog -List

Вы можно вывести размер определенного лога с помощью командлета Get-WinEvent. Например, получим текущий и максимальный размер журнала Security:

Get-WinEvent -ListLog Security| Select MaximumSizeInBytes, FileSize, IsLogFull, OldestRecordNumber, IsEnabled, LogMode

Суммарный размер паки с файлами журналов событий можно получить с помощью PowerShell:
«{0:N2} MB» -f ((gci c:\windows\System32\Winevt\Logs\| measure Length -s).sum / 1Mb)

Чтобы увеличить максимальный размер лога, можно использовать утилиту wevtutul (новый размер задается в Кб):

wevtutil sl "Application" /ms:200000

Или с помощью PowerShell:

Limit-Eventlog -Logname Application -MaximumSize 200MB -OverflowAction OverwriteOlder

Изменить размер журнала событий из консоли Event Viewer

Проще всего увеличить максимальный размер журнала прямо из консоли Event Viewer.

Откройте
eventvwr.msc
;
Найдите в консоли свойства нужного журнала и откройте его свойства (например, Security);
Задайте ограничение в разделе Maximum log size (KB) и сохраните изменения;
Здесь же можно изменить поведение при достижение максимального размера:
Owerwrite events as needed (oldest events first) – этот режим исопльзуется по умолчанию. Новые события просто перезаписывают более старые.
Archive the log when full, do not owerwrite events – текущий журнал событий при заполнении архивируется в папке \System32\Winevt\Logs\ и новые события записываются в новый evtx файл. Архивные файлы событий можно открыть через меню Open Saved Log в Event Viewer.
Do not owerwrite events (Clear log manually) – события никогда не перезатираются. Для записи новых событий нужно очистить журнал.

Увеличить размер журнала событий Windows через GPO

Чтобы централизованно управлять размерами журналов событий на компьютерах или серверах в домене Active Directory, можно использовать групповые политики.

Запустите консоль Group Policy Management (
gpmc.msc
), создайте новую GPO и назначьте на OU с компьютерами или серверами, для которых вы хотите изменить настройки Event Viewer (или назначьте GPO на корень домена);
Перейдите в раздел GPO Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Event Log Service. Как вы видите, в этом ветке есть подразделы для управления базовыми журналами Windows:
```
Application
Security
Setup
System
```
Чтобы увеличить максимальный размер любого из журналов, откройте параметр Specify the maximum log file size (KB), включите его и задайте нужный вам размер;
Обновите настройки политики на клиентах и проверьте, что в свойствах журнала теперь указан новый размер, который вы не можете изменить. При попытке задать другой размер появится ошибка:
Event Viewer
The Maximum Log Size specified is not valid. It is too large or too small. The Maximum Log Size will be set to the following: 61440 KB

Обратите внимание, что в описанном выше разделе GPO отсутствуют настройки для других журналов из раздела Applications and Services Logs -> Microsoft.Если вам нужно увеличить размер любого другого журнала событий (кроме стандартного), это можно сделать через реестр. Настройки журналов событий Windows хранятся в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\<log_name>. Размер журнала задается с помощью параметра MaxSize (тип REG_DWORD). Вы можете распространить нужное вам значение параметра реестра MaxSize на компьютеры домена с помощью Group Policy Preferences.

Подробнее о настройке ключей и параметров реестра через GPO здесь.

В этом примере мы увеличим размер журнала Directory Service на контроллерах домена. Настройки этого лога хранятся в ветке HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Directory Service.

Откройте GPO и перейдите в раздел Computer Configuration -> Preferences -> Windows Settings -> Registry;
Выберите New -> Registry Item;
Создайте новый параметр со следующими настройками:
```
Hive: HKEY_LOCAL_MACHINE
Key path: SYSTEM\CurrentControlSet\Services\EventLog\Directory Service
Value name: MaxSize
Value type: REG_DWORD
Value data: 52428800 (значение задается в байтах. В нашем примере это 50 Мб)
```
Проверьте, что после обновления GPO на DC увеличится максимальный размер журнала.

Например, если вам нужно хранить историю RDP подключений к RDS хосту за продолжительное время, нужно увеличить размер лога Terminal-Services-RemoteConnectionManager.

За счет увеличения размеров журналов событий Windows вы можете получить различную информацию за более длительный промежуток времени. Например, из журналов событий можно получить историю перезагрузок Windows, понять кто удалил файл в сетевой папке или кто изменил NTFS права доступа.

Источник

В Windows есть инструмент, который ведет детальный журнал всех событий, которые происходят в системе. Фактически это системная служба, которая фиксирует все значимые события в специальный файл — журнал событий.

Речь идет как о событиях, инициированных самой операционной системой, так и установленными в ней программами. Все предупреждения, ошибки или информационные сообщения также фиксируются в журнале событий.

Журнал событий может быть весьма полезным при решение различных проблем, например, когда компьютер стал самопроизвольно перегружаться, зависать или стал появляться так называемый «синий экран смерти».

Как запустить журнал событий

Файлы журнала событий не являются обычными текстовыми, поэтому их нельзя открыть простым текстовым редактором. Для просмотра журнала событий используется специальный инструмент — Просмотр событий.

Чтобы запустить журнал событий щелкаем правой кнопкой мыши по меню Пуск и выбираем пункт Просмотр событий из меню.

Категории событий

Все журналы событий распределяются по категориям.

Категорий довольно много, но обычно при решении проблем приходится обращаться только к трем из них — Приложение, Безопасность и Система.

Из названия категорий логично вытекает и природа событий, которые в них фиксируются. Так, например, в журнале событий Приложение фиксируются события, сгенерированные приложениями, а не системой. При этом разработчики программ решают какие события имеет смысл фиксировать в журнале

В журнале событий Система фиксируются события, сгенерированные системными компонентами, а журнал событий Безопасность содержит события, влияющие на безопасность системы. Это информация о неудачных и удачных попытках входа в систему, использование ресурсов, управление учетными записями и так далее.

Типы событий

В журнале отображаются три основных типа событий.

Сведения — эти события описывают запуск или остановку программы или системой службы, которые прошли в штатном режиме, то есть без сбоев и проблем.

Предупреждение — сигнализируют о том, что программа запущена, но возникла проблема, которая может стать причиной сбоя. 

Ошибка — такое событие сигнализирует о критической проблеме, которая может привести к сбою в работе программы или к потере данных.

Не стоит расстраиваться или впадать в панику если в журнале вы обнаружите предупреждения или ошибки. Более того я уверен, что вы их обязательно найдете и чем больше на компьютере установлено программ, тем больше подобных событий будет в журнале. Дело в том, что не всегда коммуникация между операционной системой и установленной в ней программой проходит удачно, в результате в журнале появляется соответствующая запись, хотя при этом подобное событие никак не повлияет на работу программы или Windows. Таких событий большинство и нет никакого смысла пытаться докопаться до сути каждой такой ошибки. Я бы даже сказал так — к журналу событий стоит обращаться только в том случае, если что-то пошло не так…

Когда использовать просмотр событий

Если в работе компьютера появились сбои, то тут в первую очередь и стоит заглянуть в Просмотр событий. Например, компьютера стал внезапно перезагружаться, зависать или периодически стал появляться так называемый «синий экран смерти» (BSoD). В подобных ситуациях журнал событий сможет подсказать направление для поиска причины проблемы.

Чтобы было проще найти причину стоит запомнить время возникновения внештатной ситуации. Тогда в журнале событий будет легко найти ошибку, которая случилась в этот временной промежуток. Запись об ошибке можно открыть в отдельном окне и более детально изучить информацию о ней.

К сожалению, здесь нет какого-то универсального алгоритма решения всех проблем и в каждой конкретной ситуации нужно будет исходить из той информации, которая была зафиксирована в журнале. Это может быть ссылка на проблемный файл, код ошибки вызывающей синий экран смерти или даже указание конкретного устройства.

Располагая этой информацией можно продолжить поиск. В этом всегда поможет интернет где, например, по коду ошибки можно найти возможные варианты решения проблемы.

Как сохранить журнал событий

При необходимости можно сохранить лог события, щелкнув первой кнопкой мыши и выбрав соответствующий пункт из контекстного меню.

Журнал можно сохранить, например,в файл в формате CSV и затем его можно будет открыть, например, с помощью Excel.

Где находятся файлы журнала событий

Сами файлы журналов событий Windows по умолчанию находятся на системном диске — C:\Windows\System32\winevt\Logs

Если служба «Журнал событий Windows» запущена, то рабочие файлы журналов будут защищены системой и их нельзя будет ни удалить, ни переместить. Этого делать и не следует, так как может быть нарушена работа Windows.

Как очистить журнал событий

Если возникает необходимость очистить журнал событий, то сделать это можно в Просмотре событий — щелкаем на нужном разделе правой кнопкой мышкой и выбираем пункт «Очистить журнал…».

Также многие утилиты очистки системы (вроде программы CCleaner) позволяют очищать журналы событий.

Итак, я постарался дать ответы на самые частые вопросы, касающиеся журнала событий.

Источник