Du kan rensa bort händelser från en händelselogg via Loggboken eller genom att använda kommandot wevtutil på en kommandorad.
Så här rensar du en händelselogg genom att använda Loggboken |
Starta Loggboken.
Gå till den händelselogg du vill rensa i konsolträdet.
Klicka på Rensa logg på Åtgärd-menyn.
Du kan antingen rensa händelseloggen eller först spara en kopia av den och sedan rensa den.
-
Rensa händelseloggen utan att spara den: Klicka på Rensa.
-
Rensa händelseloggen efter att du sparat den: Klicka på Spara och rensa, ge den sparade filen ett namn i Filnamn i dialogrutan Spara som och klicka på Spara.
-
Rensa händelseloggen utan att spara den: Klicka på Rensa.
Rensa en händelselogg via en kommandorad |
Öppna kommandotolken genom att klicka på Start, skriva cmd i rutan Påbörja sökning och sedan trycka ned Retur.
Skriv följande kommando:
wevtutil cl <LogName> [/bu: <backup_file_name>]
Om du vill veta mer om loggrensningsalternativet för kommandoradsverktyget wevtutil skriver du följande kommando vid kommandotolken:
wevtutil cl -?
Ytterligare hänsyn
-
Du måste ha Rensa-behörighet för loggen för att kunna utföra åtgärden. Standard är att administratörer har behörighet att rensa händelseloggar. Ange Rensa-behörighet för en logg för andra grupper genom att skriva följande kommando i kommandotolken:
Säkerhetsbeskrivaren för varje logg anges genom att använda SDDL-syntax (Security Descriptor Definition Language). Mer information om SDDL-syntax finns iwevtutil sl <LogName> /ca:<SecurityDescriptor>
Security Descriptor Definition Language på webbplatsen MSDN (sidan kan vara på engelska).
När du konstruerar en SDDL ska du vara medveten om att det finns tre distinkta rättigheter som gäller händelseloggar: Läsa, skriva och rensa. Dessa rättigheter motsvarar följande bitar i åtkomsträttighetsfältet för ACE-strängen:
-
1 = Läsa
-
2 = Skriva
-
4 = Rensa
Följande exempel visar hur du lägger till behörigheten Rensa i programloggen för gruppen Ansvariga för säkerhetskopiering (A;;0x4;;;BO):wevtutil gl <LogName>
wevtutil sl Application /ca:O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)(A;;0x4;;;BO)
-
1 = Läsa