يمكنك مسح الأحداث الموجودة في سجل أحداث عن طريق استخدام 'عارض الأحداث' (Event Viewer) أو عن طريق استخدام الأمر wevtutil في سطر الأوامر.
 | إلغاء سجل حدث باستخدام Event Viewer |
ابدأ تشغيل "عارض الأحداث".
في شجرة وحدة التحكم، انتقل إلى سجل الأحداث الذي ترغب في مسحه.
من القائمة إجراء، انقر فوق مسح السجل.
يمكن إما مسح سجل الأحداث أو حفظ نسخة لسجل الأحداث ثم مسحه.
-
لمسح سجل الأحداث دون حفظه: انقر فوق مسح.
-
لمسح سجل الأحداث بعد حفظه: انقر فوق حفظ ومسح، واكتب اسم الملف المحفوظ في اسم الملف في مربع الحوار حفظ كـ وانقر فوق حفظ.
-
لمسح سجل الأحداث دون حفظه: انقر فوق مسح.
| مسح سجل الأحداث باستخدام سطر الأوامر |
لفتح موجه الأوامر، انقر فوق Start، ثم اكتب cmd في المربع Start Search، ثم اضغط على Enter.
اكتب الأمر التالي:
wevtutil cl <LogName> [/bu: <backup_file_name>]
لمعرفة المزيد عن خيار مسح السجل لأداة سطر الأوامر wevtutil، اكتب الأمر التالي في موجه الأوامر:
wevtutil cl -?
اعتبارات إضافية
-
يجب أن يتوفر لديك الإذن الخاص بالمسح على السجل لإجراء هذه العملية. يمتلك المسؤولون الإذن بمسح سجلات الأحداث بشكل افتراضي. لتعيين الإذن 'مسح' (Clear) على أحد السجلات للمجموعات الأخرى، قم بكتابة الأمر التالي في موجه الأوامر:
يتم تعيين 'واصف الأمان' (Security Descriptor) لكل سجل عن طريق استخدام بنية 'لغة تعريف واصف الأمان' (Security Descriptor Definition Language) (SDDL). لمزيد من المعلومات حول بناء جملة SDDL، راجعwevtutil sl <LogName> /ca:<SecurityDescriptor>
لغة تعريف واصف الأمان على موقع MSDN على ويب.
لإنشاء سلسلة SDDL، لاحظ أنه هناك ثلاثة حقوق متميزة تخص سجلات الأحداث: القراءة والكتابة والمسح. تتوافق هذه الحقوق مع وحدات البت التالية الموجودة في حقل حقوق الوصول الخاص بسلسلة ACE:
-
1= القراءة
-
2= الكتابة
-
4= المسح
يوضح المثال التالي كيفية إضافة الإذن Clear إلى السجل Application الخاص بمجموعة Backup Operators (A;;0x4;;;BO):wevtutil gl <LogName>
wevtutil sl Application /ca:O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)(A;;0x4;;;BO)
-
1= القراءة