באפשרותך לנקות אירועים ביומן אירועים באמצעות 'מציג האירועים' או באמצעות הפקודה wevtutil בשורת פקודה.
כדי לנקות יומן אירועים באמצעות 'מציג האירועים' |
הפעל את 'מציג האירועים'.
בעץ המסוף, נווט אל יומן הרישום שברצונך לנקות.
בתפריט פעולה, לחץ על נקה יומן רישום.
באפשרותך לנקות את יומן האירועים או לשמור עותק של יומן האירועים ולאחר מכן לנקות אותו.
-
כדי לנקות את יומן האירועים מבלי לשמור אותו: לחץ על נקה.
-
כדי לנקות את יומן האירועים לאחר שמירתו: לחץ על שמור ונקה, הקלד שם עבור הקובץ שיישמר בתיבה שם קובץ בתיבת הדו-שיח שמירה בשם ולחץ על שמור.
-
כדי לנקות את יומן האירועים מבלי לשמור אותו: לחץ על נקה.
כדי לנקות יומן אירועים באמצעות שורת פקודה |
כדי לפתוח שורת פקודה, לחץ על התחל, הקלד cmd בתיבה התחל חיפוש ולאחר מכן הקש Enter.
הקלד את הפקודה הבאה:
wevtutil cl <LogName> [/bu: <backup_file_name>]
לקבלת מידע נוסף אודות האפשרות 'נקה יומן רישום' בכלי שורת הפקודה wevtutil, הקלד את הפקודה הבאה בשורת פקודה:
wevtutil cl -?
שיקולים נוספים
-
עליך להיות בעל הרשאת ניקוי ביומן הרישום כדי לבצע פעולה זו. כברירת מחדל, לחברים בקבוצה Administrators יש הרשאה לנקות יומני אירועים. כדי להגדיר את הרשאת הניקוי ביומן רישום עבור קבוצות אחרות, הקלד את הפקודה הבאה בשורת פקודה:
מתאר האבטחה עבור כל יומן רישום מוגדר באמצעות תחביר Security Descriptor Definition Language (SDDL). לקבלת מידע נוסף אודות תחביר SDDL, ראהwevtutil sl <LogName> /ca:<SecurityDescriptor>
Security Descriptor Definition Language (ייתכן שהדף יוצג באנגלית) באתר האינטרנט של MSDN.
כדי לבנות מחרוזת SDDL, שים לב שקיימות שלוש זכויות נפרדות הקשורות ליומני אירועים: קריאה, כתיבה וניקוי. זכויות אלה מקבילות לסיביות הבאות בשדה זכויות הגישה של מחרוזת ACE:
-
1 = קריאה
-
2 = כתיבה
-
4 = ניקוי
הדוגמה הבאה מציגה כיצד להוסיף הרשאת ניקוי ליומן היישומים עבור הקבוצה Backup Operators (A;;0x4;;;BO):wevtutil gl <LogName>
wevtutil sl Application /ca:O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)(A;;0x4;;;BO)
-
1 = קריאה