Vous pouvez effacer des événements dans un journal des événements à l’aide de l’observateur d’événements ou de la commande wevtutil depuis une ligne de commande.
Pour effacer un journal des événements à l’aide de l’observateur d’événements |
Démarrez l’observateur d’événements.
Dans l’arborescence de la console, naviguez jusqu’au journal des événements que vous souhaitez effacer.
Dans le menu Action, cliquez sur Effacer le journal.
Vous pouvez effacer le journal des événements ou bien enregistrer une copie du journal des événements et l’effacer ensuite.
-
Pour effacer le journal des événements sans l’enregistrer : Cliquez sur Effacer.
-
Pour effacer le journal des événements après l’avoir enregistré : Cliquez sur Enregistrer et effacer, tapez un nom pour le fichier enregistré dans la zone Nom de fichier de la boîte de dialogue Enregistrer sous, puis cliquez sur Enregistrer.
-
Pour effacer le journal des événements sans l’enregistrer : Cliquez sur Effacer.
Pour effacer un journal des événements à l’aide de la ligne de commande |
Pour ouvrir une invite de commandes, cliquez sur Démarrer, tapez cmd dans la zone Rechercher, puis appuyez sur Entrée.
Tapez la commande suivante :
wevtutil cl <LogName> [/bu: <backup_file_name>]
Pour en savoir plus sur l’option Effacer un journal de l’outil en ligne de commande wevtutil, tapez la commande suivante à l’invite :
wevtutil cl -?
Considérations supplémentaires
-
Vous devez disposer de l’autorisation d’effacement sur le journal pour effectuer cette opération. Par défaut, les administrateurs sont autorisés à effacer les journaux des événements. Pour définir l’autorisation d’effacement sur un journal pour d’autres groupes, tapez ce qui suit à l’invite de commandes :
Le descripteur de sécurité pour chaque journal est spécifié à l’aide de la syntaxe SDDL (Security Descriptor Definition Language). Pour plus d’informations sur la syntaxe SDDL, voir la page relative auwevtutil sl <LogName> /ca:<SecurityDescriptor>
langage SDDL sur le site Web MSDN.
Pour construire une chaîne SDDL, notez que trois droits distincts sont associés aux journaux des événements : Lire, Écrire et Effacer. Ces droits correspondent aux bits suivants dans le champ des droits d’accès de la chaîne ACE :
-
1 = Lire
-
2 = Écrire
-
4 = Effacer
Les exemples suivants montrent comment ajouter l’autorisation d’effacement au journal des applications pour le groupe Opérateurs de sauvegarde (A;;0x4;;;BO) :wevtutil gl <LogName>
wevtutil sl Application /ca:O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)(A;;0x4;;;BO)
-
1 = Lire