Windows痕跡清除之日誌檔案
阿新 • • 發佈:2021-08-27
一、檔案儲存位置
系統日誌 C:\Windows\System32\Winevt\Logs\System.evtx
安全日誌 C:\Windows\System32\Winevt\Logs\Security.evtx
應用日誌 C:\Windows\System32\Winevt\Logs\Application.evtx
二、全部清除
1、開啟事件檢視器刪除
通過win+r輸入eventvwr開啟事件檢視器,在右邊的操作一欄中,選擇Clear Log...
2、powershell命令刪除
PowerShell -Command "& {Clear-Eventlog -Log Application,System,Security}". PowerShell -Command "& {Get-WinEvent -ListLog Application,System,Security -Force | % {Wevtutil.exe cl $_.Logname}}"
3、cmd命令刪除
wevtutil clear-log Application
wevtutil clear-log Security
wevtutil clear-log System
三、定向清除
1、停止日誌服務
首先利用powershell命令找出日誌記錄服務(eventlog)對應的程序PID,Get-WmiObject或Get-CimInstance命令都可以: Get-WmiObject -Class win32_service -Filter "name = 'eventlog'" 或者 Get-CimInstance -ClassName win32_service -Filter "name = 'eventlog'" procexp.exe(Process Explorer)找出PID=840的程序: 選擇該scvhost.exe,點選右鍵->屬性->執行緒,找出服務為eventlog的執行緒PID,為876、884、1424、1428、1432,依次選擇Kill這些執行緒。 需要恢復日誌記錄服務時,在程序列表介面選擇該scvhost.exe,點選右鍵->重新啟動,然後執行命令net start eventlog。
2、刪除日誌
專案地址:https://github.com/QAX-A-Team/EventCleaner
四、應用日誌
刪改WIndows安裝的應用程式的日誌相對簡單些,因為定位其路徑後就可以手動進行刪改,思路都是相同的,都是先找到應用程式的日誌路徑,停止其相應服務,然後對日誌內容進行刪改。
這裡以最常見的WEB應用為例,日誌型別及其預設路徑和服務如下:(注意不同版本的應用日誌預設存放路徑可能不同)
日誌型別 預設路徑 相應服務
IIS C:\inetpub\logs\LogFiles\W3SVC1\ World Wide Publishing Service
Apache C:\Apache 2.4\logs Apache2.4
Tomcat C:\Tomcat 8.5\logs Apache Tomcat 8.5 Tomcat8
停止服務的命令一般用net stop即可,如net stop "World Wide Publishing Service",刪除命令用Shift + Delete或cmd命令del
一隻小the bug