可以使用事件查看器或使用命令行中的 wevtutil 命令来清除事件日志中的事件。

使用事件查看器清除事件日志的步骤

  1. 启动事件查看器。

  2. 在控制台树中,导航到要清除的事件日志。

  3. “操作”菜单上,单击“清除日志”

  4. 可以清除事件日志,或者保存事件日志的副本,然后再将其清除。

    • 清除事件日志而不保存:单击“清除”

    • 保存后再清除事件日志:单击“保存并清除”,在“另存为”对话框上的“文件名”中键入所保存文件的名称,然后单击“保存”
使用命令行清除事件日志的步骤

  1. 若要打开命令提示符,请单击“开始”,在“开始搜索”框中键入 cmd,然后按 Enter

  2. 键入下列命令:

    wevtutil cl <LogName> [/bu: <backup_file_name>]

若要进一步了解有关清除 wevtutil 命令行工具的日志选项,请在命令提示符下键入以下命令:

wevtutil cl -?

其他注意事项

  • 您必须对该日志具有“清除”权限才能执行此操作。默认情况下,管理员具有清除事件日志的权限。若要为其他组设置对日志的清除权限,请在命令提示符下键入以下命令:

    wevtutil sl <LogName> /ca:<SecurityDescriptor>
    每个日志的安全描述符都是使用安全描述符定义语言 (SDDL) 语法来指定的。有关 SDDL 语法的详细信息,请参阅 MSDN 网站中的“安全描述符定义语言”(可能为英文网页)

    若要构造 SDDL 字符串,请注意有三种截然不同的权限适合于事件日志:读取、写入和清除。这些权限与 ACE 字符串的访问权限字段中的以下位对应:

    • 1= 读取

    • 2 = 写入

    • 4 = 清除

    若要查看日志的 SDDL 字符串,请在命令提示符下键入以下命令:

    wevtutil gl <LogName>
    以下示例显示如何将清除权限添加到 Backup Operators 组 (A;;0x4;;;BO) 的应用程序日志中:

    wevtutil sl Application /ca:O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)(A;;0x4;;;BO)

其他参考

目录