使用 [事件檢視器] 或在命令列中使用 wevtutil 命令,即可清除事件記錄檔中的事件。

使用 [事件檢視器] 清除事件記錄檔

  1. 啟動事件檢視器。

  2. 在主控台樹狀目錄中,瀏覽到您要清除的事件記錄檔。

  3. [執行] 功能表,按一下 [清除記錄檔]

  4. 您可以直接清除事件記錄檔,或先儲存事件記錄檔的複本後再清除。

    • 若要直接清除事件記錄檔而不儲存:按一下 [清除]

    • 若要先儲存再清除事件記錄檔:按一下 [儲存並清除]、在 [另存新檔] 對話方塊上的 [檔案名稱] 中輸入儲存檔案的名稱,然後按一下 [儲存]
使用命令列清除事件記錄檔

  1. 若要開啟命令提示字元,請按一下 [開始],在 [開始搜尋] 方塊中輸入 cmd,然後按 Enter 鍵。

  2. 輸入下列命令:

    wevtutil cl <LogName> [/bu: <backup_file_name>]

若要深入了解關於 wevtutil 命令列工具之清除記錄選項的詳細資訊,請在命令提示字元中輸入下列命令:

wevtutil cl -?

其他考量

  • 您必須有記錄檔的清除權限,才能執行此作業。根據預設,系統管理員擁有清除事件記錄檔的權限。若要為其他群組設定記錄檔的清除權限,請在命令提示字元中輸入下列命令:

    wevtutil sl <LogName> /ca:<SecurityDescriptor>
    每個記錄檔的安全性描述元 Security Descriptor Definition Language (SDDL) 語法指定。如需 SDDL 語法的相關資訊,請參閱 MSDN 網站上的 Security Descriptor Definition Language (可能為英文網頁)

    若要建立 SDDL 字串,請注意與事件記錄檔相關的三個主要權限:讀取、寫入及清除。這些權限對應至 ACE 字串存取權限欄位中的下列位元:

    • 1= 讀取

    • 2 = 寫入

    • 4 = 清除

    若要查看記錄檔的 SDDL 字串,請在命令提示字元中輸入下列命令:

    wevtutil gl <LogName>
    下列範例說明如何將清除權限新增至 Backup Operators 群組的應用程式記錄檔 (A;;0x4;;;BO):

    wevtutil sl Application /ca:O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)(A;;0x4;;;BO)

其他參考資料

目錄