イベント ログ内のイベントは、イベント ビューアーを使用するか、コマンド ラインで wevtutil コマンドを使用して消去できます。

イベント ビューアーを使用してイベント ログを消去するには

  1. イベント ビューアーを起動します。

  2. コンソール ツリーで、消去するイベント ログに移動します。

  3. [操作] メニューの [ログの消去] をクリックします。

  4. イベント ログをそのまま消去することも、コピーを保存してからイベント ログを消去することもできます。

    • 保存しないでイベント ログを消去するには : [消去] をクリックします。

    • 保存後にイベント ログを消去するには : [保存と消去] をクリックし、保存するファイルの名前を [名前付けて保存] ダイアログ ボックスの [ファイル名] に入力して、[保存] をクリックします。
コマンド ラインを使用してイベント ログを消去するには

  1. コマンド プロンプトを開くには、[スタート] ボタンをクリックし、[検索の開始] ボックスに「cmd」と入力してから Enter キーを押します。

  2. 次のコマンドを入力します。

    wevtutil cl <LogName> [/bu: <backup_file_name>]

wevtutil コマンド ライン ツールのログ消去オプションの詳細を表示するには、コマンド プロンプトで次のコマンドを入力します。

wevtutil cl -?

その他の考慮事項

  • この操作を実行するには、ログに対する消去アクセス許可を持っている必要があります。Administrators グループには既定でイベント ログを消去するためのアクセス許可があります。ログに対する消去アクセス許可を他のグループに設定するには、コマンド プロンプトで次のコマンドを入力します。

    wevtutil sl <LogName> /ca:<SecurityDescriptor>
    各ログのセキュリティ記述子は、セキュリティ記述子定義言語 (SDDL) 構文を使用して指定します。SDDL 構文の詳細については、MSDN Web サイトのセキュリティ記述子定義言語に関するページ (英語の可能性あり) を参照してください。

    SDDL 文字列を構成する際、イベント ログに関連するアクセス許可が 3 種類 (読み取り、書き込み、消去) あることに注意してください。これらのアクセス許可は、ACE 文字列のアクセス権フィールド内の次のビットに対応しています。

    • 1 = 読み取り

    • 2 = 書き込み

    • 4 = 消去

    ログの SDDL 文字列を確認するには、コマンド プロンプトで次のコマンドを入力します。

    wevtutil gl <LogName>
    次の例は、アプリケーション ログに対する消去アクセス許可を Backup Operators グループ (A;;0x4;;;BO) に追加する方法を示しています。

    wevtutil sl Application /ca:O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)(A;;0x4;;;BO)

その他の参照情報

目次