使用 [事件檢視器] 或在命令列中使用 wevtutil 命令,即可清除事件記錄檔中的事件。
使用 [事件檢視器] 清除事件記錄檔 |
啟動事件檢視器。
在主控台樹狀目錄中,瀏覽到您要清除的事件記錄檔。
在 [執行] 功能表,按一下 [清除記錄檔]。
您可以直接清除事件記錄檔,或先儲存事件記錄檔的複本後再清除。
-
若要直接清除事件記錄檔而不儲存:按一下 [清除]。
-
若要先儲存再清除事件記錄檔:按一下 [儲存並清除]、在 [另存新檔] 對話方塊上的 [檔案名稱] 中輸入儲存檔案的名稱,然後按一下 [儲存]。
-
若要直接清除事件記錄檔而不儲存:按一下 [清除]。
使用命令列清除事件記錄檔 |
若要開啟命令提示字元,請按一下 [開始],在 [開始搜尋] 方塊中輸入 cmd,然後按 Enter 鍵。
輸入下列命令:
wevtutil cl <LogName> [/bu: <backup_file_name>]
若要深入了解關於 wevtutil 命令列工具之清除記錄選項的詳細資訊,請在命令提示字元中輸入下列命令:
wevtutil cl -?
其他考量
-
您必須有記錄檔的清除權限,才能執行此作業。根據預設,系統管理員擁有清除事件記錄檔的權限。若要為其他群組設定記錄檔的清除權限,請在命令提示字元中輸入下列命令:
每個記錄檔的安全性描述元 Security Descriptor Definition Language (SDDL) 語法指定。如需 SDDL 語法的相關資訊,請參閱 MSDN 網站上的wevtutil sl <LogName> /ca:<SecurityDescriptor>
Security Descriptor Definition Language (可能為英文網頁) 。
若要建立 SDDL 字串,請注意與事件記錄檔相關的三個主要權限:讀取、寫入及清除。這些權限對應至 ACE 字串存取權限欄位中的下列位元:
-
1= 讀取
-
2 = 寫入
-
4 = 清除
下列範例說明如何將清除權限新增至 Backup Operators 群組的應用程式記錄檔 (A;;0x4;;;BO):wevtutil gl <LogName>
wevtutil sl Application /ca:O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)(A;;0x4;;;BO)
-
1= 讀取