Чистка журнала событий windows server 2012 r2
Обновлено: 01.07.2024
| Конфигурация компьютера | |
| Процессор: AMD FX-8350 Black Edition, FD8350FRHKBOX, 4.00ГГц, 8+8МБ, Socket AM3+, BOX | |
| Материнская плата: Asus Sabertooth 990FX R2.0 | |
| Память: Kingston HyperX Beast (T3), KHX24C11T3K2/16X | |
| HDD: SSD 240Gb Kingston SV300S37A/240G | |
| Видеокарта: MSI GeForce GTX 970 Gaming 4 GB | |
| Звук: Realtek ALC892 @ ATI SB900 - High Definition Audio Controller | |
| Блок питания: Thermaltake TR2 Bronze 750W | |
| CD/DVD: PIONEER DVD-RW DVR-212D SATA CdRom Device | |
| Монитор: Samsung SyncMaster 275T (Digital) [27" LCD] (HVZP900035) | |
| Ноутбук/нетбук: - | |
| ОС: Windоws 10 Professional x64 | |
| Индекс производительности Windows: Процессор 8.2 Память 8,2 Графика 8,7 Графика для игр 9,9 Основной жесткий диск 8,0 |
| есть ли возможность полностью очистить журнал событий |
Правой кнопкой мыши на журнале - > Очистить журнал.
-------
- Пал Андреич, Вы шпион?
- Видишь ли, Юра.
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.
| Конфигурация компьютера | |
| Процессор: AMD FX-8350 Black Edition, FD8350FRHKBOX, 4.00ГГц, 8+8МБ, Socket AM3+, BOX | |
| Материнская плата: Asus Sabertooth 990FX R2.0 | |
| Память: Kingston HyperX Beast (T3), KHX24C11T3K2/16X | |
| HDD: SSD 240Gb Kingston SV300S37A/240G | |
| Видеокарта: MSI GeForce GTX 970 Gaming 4 GB | |
| Звук: Realtek ALC892 @ ATI SB900 - High Definition Audio Controller | |
| Блок питания: Thermaltake TR2 Bronze 750W | |
| CD/DVD: PIONEER DVD-RW DVR-212D SATA CdRom Device | |
| Монитор: Samsung SyncMaster 275T (Digital) [27" LCD] (HVZP900035) | |
| Ноутбук/нетбук: - | |
| ОС: Windоws 10 Professional x64 | |
| Индекс производительности Windows: Процессор 8.2 Память 8,2 Графика 8,7 Графика для игр 9,9 Основной жесткий диск 8,0 |
-------
- Пал Андреич, Вы шпион?
- Видишь ли, Юра.
| Конфигурация компьютера | |
| Процессор: AMD FX-8350 Black Edition, FD8350FRHKBOX, 4.00ГГц, 8+8МБ, Socket AM3+, BOX | |
| Материнская плата: Asus Sabertooth 990FX R2.0 | |
| Память: Kingston HyperX Beast (T3), KHX24C11T3K2/16X | |
| HDD: SSD 240Gb Kingston SV300S37A/240G | |
| Видеокарта: MSI GeForce GTX 970 Gaming 4 GB | |
| Звук: Realtek ALC892 @ ATI SB900 - High Definition Audio Controller | |
| Блок питания: Thermaltake TR2 Bronze 750W | |
| CD/DVD: PIONEER DVD-RW DVR-212D SATA CdRom Device | |
| Монитор: Samsung SyncMaster 275T (Digital) [27" LCD] (HVZP900035) | |
| Ноутбук/нетбук: - | |
| ОС: Windоws 10 Professional x64 | |
| Индекс производительности Windows: Процессор 8.2 Память 8,2 Графика 8,7 Графика для игр 9,9 Основной жесткий диск 8,0 |
-------
- Пал Андреич, Вы шпион?
- Видишь ли, Юра.
| Конфигурация компьютера | |
| ОС: macOS Catalina, Arch, Gentoo | |
| Прочее: Apple iMac |
Что это такое в Windows 10 мне не известно. Есть "Просмотр событий (eventvwr.msc /s)". Пожалуйста, называйте вещи своими именами.
| да ладно!Спасибо Вам добрый человек,вот только,где именно? » |
Звучит как "Вы все глупые, я один сообразительный". К чему этот сарказм?
Здесь:
Нажмите правую кнопку мыши на элементе, затем из контекстного меню выберите пункт "Очистить журнал. "
и выберите один из вариантов очистки: Сохранить и очистить или Очистить.
Группа "События управления" будет пуста лишь тогда, когда вы очистите события из остальных групп.
Т.е после очистки из каждой подгруппы в группах "Журналы Windows", "Журналы приложений и служб" - события из группы "События управления", автоматически исчезнут.
| Конфигурация компьютера | |
| Процессор: AMD FX-8350 Black Edition, FD8350FRHKBOX, 4.00ГГц, 8+8МБ, Socket AM3+, BOX | |
| Материнская плата: Asus Sabertooth 990FX R2.0 | |
| Память: Kingston HyperX Beast (T3), KHX24C11T3K2/16X | |
| HDD: SSD 240Gb Kingston SV300S37A/240G | |
| Видеокарта: MSI GeForce GTX 970 Gaming 4 GB | |
| Звук: Realtek ALC892 @ ATI SB900 - High Definition Audio Controller | |
| Блок питания: Thermaltake TR2 Bronze 750W | |
| CD/DVD: PIONEER DVD-RW DVR-212D SATA CdRom Device | |
| Монитор: Samsung SyncMaster 275T (Digital) [27" LCD] (HVZP900035) | |
| Ноутбук/нетбук: - | |
| ОС: Windоws 10 Professional x64 | |
| Индекс производительности Windows: Процессор 8.2 Память 8,2 Графика 8,7 Графика для игр 9,9 Основной жесткий диск 8,0 |
Angry Demon, если не сложно, объясните пожалуйста пошагово,как это сделать,чтобы я не напортачил
Nordek, в том то и дело что все группы где написано "очистить"я очистил,но удалилась лишь незначительная часть записей!
В этой статье описывается метод переименования или перемещения этих файлов для устранения неполадок.
Применяется к: Windows Server 2012 R2
Исходный номер КБ: 172156
Симптомы
Доктор Ватсон Services.exe
Исключение: нарушение доступа (0xc0000005), адрес: 0x76e073d4
Средство просмотра событий
Вызов удаленной процедуры не удалось
Процесс services.exe может потреблять высокий процент использования ЦП.
Причина
Файлы журнала просмотра событий (Sysevent.evt, Appevent.evt, Secevent.evt) всегда используются системой, предотвращая удаление или переименование файлов. Службу EventLog нельзя остановить, так как она необходима другим службам, поэтому файлы всегда открыты.
Решение
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в дополнительных сведениях о том, как создать и восстановить реестр в Windows
Раздел NTFS
Выберите кнопку Начните, указать Параметры, выберите панель управления, а затем дважды щелкните Службы.
Выберите службу EventLog и выберите Startup. Измените тип запуска на отключенный, а затем выберите ОК. Если вы не можете войти на компьютер, но можете получить удаленный доступ к реестру, вы можете изменить значение Startup в следующем ключе реестра на 0x4: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog
Переименовать или переместить поврежденный файл *.evt из следующего расположения: %SystemRoot%\System32\Config
В средстве Control Panel Services повторно включите службу EventLog, вернув ее к по умолчанию автоматического запуска, или измените значение запуска реестра на 0x2.
РАЗДЕЛ FAT (Альтернативный метод)
Загрузка на запрос MS-DOS с помощью загружаемого диска DOS.
Переименовать или переместить поврежденный файл *.evt из следующего расположения: %SystemRoot%\System32\Config
просмотр журнала событий
Иногда чтобы посмотреть появляется какая либо ошибка или событие, трудно бывает искать его среди кучи событий, можно конечно фильтровать, но проще все очистить. Чистить в ручную долго и муторно, предлагаю скрипт который почистит все журналы windows. Перед выполнением скрипта советую в просмотре событий сохранить логи windows для дальнейшего изучения, много раз было, что старые файлы оказываются, очень нужны, учитесь на чужих ошибках, а лучше их вообще не совершайте.
До очистки видим, что в логах windows много событий
Выполняем скрипт, выполнять нужно от имени администратора.
После, результат на лицо все логи windows удалены в оснастке просмотр событий, и вы только обнаружите событие о том кто и когда произвел удаление.
вот сам текст скрипта
@echo off
FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V
IF (%adminTest%)==(Access) goto noAdmin
for /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")
echo.
echo goto theEnd
:do_clear
echo clearing %1
wevtutil.exe cl %1
goto :eof
:noAdmin
exit
Как видите логи windows очень быстро и легко удаляются скриптом, если нужно массово зачистить вешаем его в планировщике заданий. Так же советую ознакомится с методом Как очистить просмотр событий с помощью PowerShell
Как удалить записи событий системных журналах
В область кибербезопасности чрезвычайно быстро растет потребность в специалистах по информационной безопасноти в целях защиты организаций от киберугроз и противодействию злоумышленникам. Кибератака может быть чем угодно: от фишингового письма до заражения вредоносным ПО, атакой с помощью программ-вымогателей(шифровальщиков) и т.д. Международные организации по кибербезопасности и органы сертификации, такие как EC-Council и GIAC, подчеркивают роль в компьютерной криминалистики в цифровом мире. В рамках расследованиях необходимо определить, что произошло, как произошла атака, определить возможных исполнителей, а также прояснить многие другие детали, которые могут помочь при обвинение в суде.
Типы журналов и их расположение
Даллее рассмотрим различные типы журналов, которые пентестер должен опередить для удаления, а также где эти журналы можно найти
Журналы DHCP-сервера
В этих журналах ведется учет присвоения IP-адресов в сети. В этом журнале хранятся все события при взаимодействии между потенциальным DHCP-клиентом и DHCP-сервером. Наибольший интерес здесь представляют MAC-адресса клиентов, которые будут занесены в соответсвующий журнал событий.
Ниже приведены местоположения журналов DHCP-сервера:
Журналы DHCP хранятся в каталоге % SystemRoot% \ System32 \ dhcp для ОС Windows.
В Linux для просмотра журналов DHCP мы можем использовать команду
События Syslog
Пакетный анализ
Далее,проводя исследования сети, эксперты проводят анализ пакетов, наблюдая за любыми аномалиями в интересующем сегменте сети. Анализ пакетов позволяет определить следующее:
Источник атаки
Загруженые и скачаные файлы
Тип трафика в сети
Время атаки
Извлеченные артефакты, например файлы
URL-адреса и домены
Атакованный хост
Данные телеметрии
Журналы веб-сервера
Журналы базы данных
HKLM \ System \ ControlSet00x \ Services \ EventLog
Чтобы просмотреть список имён доступных журналов событий в Windows 10, используйте команду
Кроме того, использование команды wevtutil gl <имя журнала> представит информацию о конфигурации для выбранного журнала:
Стоит отметить, что сами системные журналы Windows хранятся в C:\Windows\System32\winevt \Logs в локальной системе:
Простое изменение или удаление файлов журналов, хранящихся в этих местах будет вызывать сложности при расследовании инцидента информационной безопаности и безусловно будет затруднять работу экспертов. Станет гораздо сложнее определить фактическую последовательность атаки и ее распространение, что в свою очередь снижает шансы быть обнаруженным.
Очистка журналов в Windows
В операционной системе Windows средство просмотра событий представляет собой приложение, которое объединяет журналы приложений, безопасности, установки и системы на единой информационной панели. Она располагается в:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Просмотрщик событий
Также для открытия средства просмотра событий в Windows достаточно ввести сочение клавиш Win + R , и в окне «Выполнить» ввести eventvwr.msc и нажать OK.
В окне «Просмотр событий» журналы можно очистить, просто выбрав функцию «Очистить журнал» кнопкой на панели «Действия». Чтобы очистить журналы для определенной категории, например всех журналов, которые находятся в группе «Приложение», просто щелкните правой кнопкой мыши имя группы и выберите «Очистить журнал».
Однако не стоит забывать о том, что события об очистке журнала также пишется в лог
Использование PowerShell для очистки журналов в Windows
Теперь рассмотрим несколько комманд для очистки журналов.
1.Для очиски всех журналов событий:
После выполнения команды журналы стираются, как показано в средстве просмотра событий:
Использование параметра Get-Help, за которым следует командлет Clear-EventLog, предоставит вам дополнительные параметры:
Далее рассмотрим использование командной строки для очистки журналов.
Использование командной строки для очистки журналов в Windows
Теперь рассмотрим использование командной строки для очистки журналов в ОС Windows:
1 Очистка отдельных журналов
Ранее мы использовали команду wevtutil el в командной строке Windows для просмотра списка типов / категорий журналов. Мы можем использовать wevtutil cl, за которым следует конкретный журнал, чтобы стереть / очистить записи в категории журнала:
Кроме того,можно использовать синтаксис clear-log вместо cl:
2.Очистка всех журналов одним скриптом
Когда мы запустили команду wevtutil el, мы увидели длинный список категорий журналов событий. Однако очистка каждой категории занимает довольно много времени, поэтому используйте следующий скрипт для очистки каждой категории при выполнении команды
Использование Meterpreter для очистки журналов Windows
В этой статье мы рассмотрелли способы скрытия активности во время тестирвоания на проникновение, моделируя атаки на целевую систему или сеть. Мы обсудили различные типы журналов и их расположение. Кроме того, мы рассмотрели несколько сценариев, в которых мы использовали различные методы для очистки журналов в операционных системах Windows.
Читайте также: