Очистка журналов событий Windows с помощью PowerShell и wevtutil. Очистка журналов событий Windows с помощью PowerShell и wevtutil Журналы событий windows нужно ли чистить

Списки открытых файлов и подключенных по USB устройств, история браузера, кеш DNS - все это помогает узнать, что делал пользователь. Мы составили пошаговую инструкцию, как убрать следы своей деятельности в разных версиях Windows, Office и популярных браузерах. В конце статьи ты найдешь несколько скриптов, которые помогут тебе автоматически поддерживать чистоту на своей машине.

1. Очистка списков недавних мест и программ

Начнем уборку со списков недавних мест и программ. Список недавних (в Windows 10 - часто используемых) программ находится в главном меню, а список недавних мест - в проводнике.

Как отключить это безобразие? В Windows 7 - щелкнуть правой кнопкой мыши на кнопке «Пуск», выбрать «Свойства» и в появившемся окне снять обе галочки в разделе «Конфиденциальность».

Чтобы очистить список последних мест и документов, нужно удалить содержимое каталога %appdata%\Microsoft\Windows\Recent . Для этого открой командную строку и выполни две команды:

Cd %appdata%\Microsoft\Windows\Recent echo y | del *.*

Также не помешает удалить содержимое каталога %appdata%\microsoft\windows\recent\automaticdestinations\ . В нем хранятся последние файлы, которые отображаются в списке перехода:

Cd %appdata%\microsoft\windows\recent\automaticdestinations\ echo y | del *.*

Чтобы последние файлы очищались автоматически при выходе, нужно включить политику «Очищать журнал недавно открывавшихся документов при выходе», которая находится в разделе «Конфигурация пользователя\Административные шаблоны\Меню «Пуск» и панель задач».

Теперь переходим к Windows 10. Отключить список недавно добавленных и часто используемых приложений можно через окно «Параметры». Открой его и перейди в раздел «Персонализация», пункт «Пуск». Отключи все, что там есть.

Кажется, что проблема решена, но это, увы, не совсем так. Если включить эти параметры снова, то все списки в таком же составе появятся вновь. Поэтому придется отключать эту фичу через групповую политику. Открой gpedit.msc и перейди в раздел «Конфигурация пользователя\Административные шаблоны\Меню «Пуск» и панель задач». Включи следующие политики:

• «Очистка списка недавно использовавшихся программ для новых пользователей»;
• «Очистить журнал недавно открывавшихся документов при выходе»;
• «Очистить журнал уведомлений на плитке при выходе»;
• «Удалить список программ, закрепленных в меню „Пуск“».

Очистить недавние места в Windows 10 проще, чем в «семерке». Открой проводник, перейди на вкладку «Вид» и нажми кнопку «Параметры». В появившемся окне отключи параметры «Показывать недавно использовавшиеся файлы на панели быстрого доступа» и «Показывать часто используемые папки на панели быстрого доступа». Не забудь нажать кнопку «Очистить».

Как видишь, у такой простой задачи, как очистка последних объектов, довольно непростое решение. Без редактирования групповых политик - никуда.

2. Очистка списка USB-накопителей

На некоторых режимных объектах к компьютеру разрешено подключать только флешки, зарегистрированные в журнале. Причем, как водится, журнал самый что ни на есть обычный - бумажный. То есть сам компьютер никак не ограничивает подключение незарегистрированных накопителей. Не ограничивает, зато протоколирует! И если при проверке обнаружат, что пользователь подключал незарегистрированные накопители, у него будут проблемы.

Мы ни в коем случае не советуем тебе пытаться украсть военные секреты, но умение очищать список недавно подключавшихся накопителей может пригодиться и в других жизненных ситуациях. Чтобы сделать это, загляни в следующие разделы реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\

Вот они - все накопители, которые ты подключал к своему компу.

Казалось бы, нужно просто взять и все почистить. Но не тут-то было! Во-первых, разрешения на эти ветки реестра установлены таким образом, что ты ничего не удалишь даже в «семерке», не говоря уже о «десятке».

Во-вторых, назначать права и разрешения вручную долго, особенно если накопителей много. В-третьих, права админа не помогут. Скриншот выше был создан, когда я выполнял операцию удаления как раз с правами админа. В-четвертых, кроме этих двух разделов, нужно почистить еще длинный список разделов. Причем их нужно не просто удалять, а грамотно редактировать.

Если тебе по каким-то причинам понадобится сделать все вручную, то ищи по ключевым словам MountPoints, MountedDevices DeviceClasses и RemovableMedia. Но куда проще использовать готовую программу, которая сделает все за тебя. На некоторых форумах для этого рекомендуют USBDeview. Однако я ее протестировал и заявляю, что она вычищает информацию далеко не из всех нужных разделов. USBSTOR и USB продолжают содержать информацию о подключавшихся носителях.

Могу порекомендовать программу . Запусти ее, поставь галочку «Произвести реальную очистку». Параметр «Сохранить.reg-файл отмены» можешь включить или нет, но если цель не проверить программу, а подготовиться к грядущей инспекции компьютера, то лучше выключить.

Программа не только чистит реестр, но и выводит подробный лог своих действий (см. ниже). Когда она завершит работу, не останется никаких упоминаний о подключении накопителей к компьютеру.

3. Очистка кеша и истории браузеров

Третий пункт в нашем туду - очистка кеша и журнала браузеров. Тут сложностей никаких - каждый браузер позволяет сбросить список недавно посещенных сайтов.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «сайт», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score!

Для того чтобы получить доступ к записям посещений сайта, необходимо зайти в меню «Журнал»-> «Показать весь журнал». После этого высветится окно с подробной информацией. В нём отображаются данные по таким периодам:

• Сегодня;
• Вчера;
• Последние 7 дней;
• Этот месяц;
• Три предыдущих месяца (на каждый месяц отдельный пункт).

Для того чтобы очистить историю в Mozilla Firefox за один из указанных выше периодов, достаточно щелкнуть по нему правой кнопкой и выбрать в выпадающем меню пункт «Удалить». После этого пункт вместе со всей историей, содержащейся в нём, будет удален. Как видно, такой способ очистки истории невероятно простой.

Помимо очищения всех записей в каком-то разделе журнала, можно просто щелкнуть на одной из записей и выбрать пункт «Удалить эту страницу». После этого страница будет удалена из истории, однако это не затронет остальные элементы журнала. Стоит обратить внимание, что такое удаление является очень базовым.

Более качественное удаление истории посещений

Когда мы посещаем какой-то сайт, записывается не только его адрес, но и:

• История закачек;
• Слова, введенные в окне поиска;
• Кукис;
• Логин и пароль (если на сайте была регистрация);
• Настройки сайта;
• Другая информация.

Чтобы очистить cookies в Firefox, а также остальную информацию, которая могла бы выдать посещение конкретного сайта, необходимо зайти в меню «Инструменты»->«Стереть недавнюю историю…». В открывшемся окошке можно будет выбрать, что именно стереть и за какой промежуток времени (всё, 1 час, 2 часа, 4 часа или сегодня).

Ещё один способ удаления данных из журнала посещений доступен в окошке журнала. Если в списке, допустим, за «Сегодня» выбрать одну из записей и щелкнуть правой кнопкой, то будет доступен пункт «Забыть об этом сайте». Выбор этого пункта удаляет все данные (кукис, кэш и другую информацию), связанные с этим сайтом.

Если Вы хотите узнать больше информации о том, как очистить журнал посещений в Мозиле, вы можете посетить официальный сайт браузера (support.mozilla.org).

Здравствуйте Друзья! В этой статье рассмотрим журнал событий Windows 7 . Операционная система записывает практически всё, что с ней происходит в этот журнал. Просматривать его удобно с помощью приложения Просмотр событий, которое устанавливается вместе с . Сказать что записываемых событий много — ничего не сказать. Их тьма. Но, запутаться в них сложно так как все отсортировано по категориям.

Благодаря журналу событий специалистам и простым пользователям гораздо легче найти ошибки и исправить ее. Говоря легче я не имел в виду легко. Практически всегда для исправления повторяющейся ошибки придется сильно и перечитать кучу материала. Иногда это стоит того, чтобы избавиться от нестандартного поведения операционной системы.

Чтобы операционная система успешно заполняла журналы событий необходима чтобы работала служба Журнал событий Windows за это отвечающая. Проверим запущена ли эта служба. В поле поиска главного меню ищем Службы

Находим службу Журнал событий Windows и проверяем Состояние — Работает и Тип запуска — Автоматически

Если у вас эта служба не запущена — дважды кликаете на ней левой мышкой и в свойствах в разделе Тип запуска выбираете Автоматически. Затем нажимаете Запустить и ОК

Служба запущена и журналы событий начнут заполняться.

Запускаем утилиту Просмотр событий воспользовавшись

Утилита по умолчанию имеет следующий вид

Многое здесь можно настроить под себя. Например с помощью кнопок под областью меню можно скрыть или отобразить Дерево консоли слева и панель Действия справа

Область по центру внизу называется Областью просмотра. В ней показываются сведения о выбранном событии. Ее можно убрать сняв соответствующую галочку в меню Вид или нажав на крестик в правом верхнем углу области просмотра

Главное поле находится по центру вверху и представляет из себя таблицу с событиями журнала который вы выбрали в Дереве консоли. По умолчанию отображаются не все столбцы. Можно добавить и поменять их порядок отображения. Для этого по шапке любого столбца жмем правой и выбираем Добавить или удалить столбцы…

В открывшемся окошке в колонку Отображаемые столбцы добавляете необходимые столбики из левого поля

Для изменения порядка отображения столбцов в правом поле выделяем нужный столбец и с помощью кнопок Вверх и Вниз меняем месторасположение.

Каждый столбец это определенное свойство события. Все эти свойства отлично описал Дмитрий Буланов . Приведу скриншот. Для увеличения нажмите на него.

Устанавливать все столбцы в таблице не имеет смысла так как ключевые свойства отображаются в области просмотра. Если последняя у вас не отображается, то дважды кликнув левой кнопкой мышки на событие в отдельном окошке увидите его свойства

На вкладке Общие есть описание этой ошибки и иногда способ ее исправления. Ниже собраны все свойства события и в разделе Подробности дана ссылка на Веб-справку по которой возможно будет информация по исправлению ошибки.

Журналы событий

Key Management Service — записываются события службы управления ключами. Разработана для управления активациями корпоративных версий операционных систем. Журнал пуст так как на можно обойтись без нее.

У журналов так же есть свои Свойства. Чтобы их посмотреть жмем правой кнопкой на журнале и в контекстном меню выбираем Свойства

В открывшихся свойствах вы видите Полное имя журнала, Путь к файлу журнала его размер и даты создания, изменения и когда он был открыт

Так же установлена галочку Включить ведение журнала. Она не активна и убрать ее не получится. Посмотрел эту опцию в свойствах других журналов, там она так же включена и неактивна. Для журнала События оборудования она точно в таком же положении и журнал не ведется.

В свойствах можно задать Максимальный размер журнала (КБ) и выбрать действие при достижения максимального размера. Для серверов и других важных рабочих станций скорее всего делают размер журналов по больше и выбирают Архивировать журнал при заполнении, чтобы можно было в случае нештатной ситуации отследить когда началась неисправность.

Работа с журналами событий Windows 7

Работа заключается в сортировке, группировке, очистке журналов и создании настраиваемых представлений для удобства нахождения тех или иных событий.

Выбираем любой журнал. Например Приложение и в таблице по центру кликаем по шапке любого столбца левой кнопкой мышки. Произойдет сортировка событий по этому столбцу

Если вы еще раз нажмете то получите сортировку в обратном направлении. Принципы сортировки такие же как и для . Ограничения в невозможности выполнить сортировку более чем по одному столбцу.

Для группировки событий по определенному столбцу кликаем по его шапке правой кнопкой и выбираем Группировать события по этому столбцу. В примере события сгруппированы по столбцу Уровень

В этом случае удобна работать с определенной группой событий. Например с Ошибками. После группировки событий у вас появится возможность сворачивать и разворачивать группы. Это можно делать и в самой таблице событий дважды щелкнув по названию группы. Например по Уровень: Предупреждение (74).

Для удаления группировки необходимо снова кликнуть по шапке столбца правой кнопкой мышки и выбрать Удалить группировку событий.

Очистка журнала

Если вы исправили ошибки в системе приводившие к записи событий в журнале, то вероятно вы захотите очистить журнал, чтобы старые записи не мешали диагностировать новые состояния компьютера. Для этого нажимаем правой кнопкой на журнале который нужно очистить и выбираем Очистить журнал…

В открывшемся окошке мы можем просто очистить журнал и можем Сохранить его в файл перед очищением

Настраиваемые представления

Настроенные сортировки и группировки пропадают при закрытии окошка Просмотр событий. Если вам приходится часто работать с событиями то можно создать настраиваемые представления. Это определенные фильтры которые сохраняются в соответствующем разделе дерева консоли и никуда не пропадают при закрытии Просмотра событий.

Для создания настраиваемого представления нажимаем на любом журнале правой кнопкой и выбираем Создать настраиваемое представление…

В открывшемся окошке в разделе Дата выбираем из выпадающего списка диапазон времени за который нам нужно выбирать события

В разделе Уровень события ставим галочки для выбора важности событий.

Мы можем сделать выборку по определенному журналу или журналам или по источнику. Переключаем радиобокс в нужное положение и из выпадающего списка устанавливаем необходимые галочки

Можно выбрать определенные коды событий чтобы они показывались или не показывалась в созданном вами представлении.

Когда все параметры представления выбрали жмем ОК

В появившемся окошке задаем имя и описание настраиваемого представления и жмем ОК

Для примера создал настраиваемое представление для Ошибок и критических событий из журналов Приложение и Безопасность

Это представление в последствии можно редактировать и оно никуда не пропадет при закрытии утилиты Просмотр событий. Для редактирования нажимаем на представлении правой кнопкой мышки и выбираем Фильтр текущего настраиваемого представления…

В открывшемся окошке делаем дополнительные настройки в представлении.

Можно провести аналогию Настраиваемого представления с сохраненными условиями в проводнике Windows 7.

Заключение

В этой статье мы рассмотрели журнал событий Windows 7. Рассказали про практически все основные операции с ним для удобства нахождения событий об ошибках и критических событий. И тут возникает закономерный вопрос — «А как же исправлять эти ошибки в системе». Здесь все сильно сложнее. В сети информации мало и поэтому возможно придется затратить уйму времени на . Поэтому, если работа компьютера в целом вас устраивает, то можно этим не заниматься. Если же вы хотите попробовать поправить смотрите видео ниже.

Так же с помощью журнала событий можно провести диагностику медленной загрузки Windows 7 .

Буду рад любым комментариям и предложениям.

Очистка журнала посещений браузера позволяет освободить дисковое пространство от ненужной информации. Яндекс браузер, по сути, является наследником Google Chrome, как по движку, так и по расширениям. Очистить историю можно несколькими путями:

1. Вручную.
2. Собственными средствами браузера.
3. Сторонним программным обеспечением.

Шаг 1. Для входа в нужное Вам меню деинсталляции стоит развернуть панель управления, и выбрать режим «Крупные значки».

Шаг 2. Запустите настройку параметров папок.

Шаг 3. Переключитесь на вкладку «Вид».

Переключаемся на вкладку «Вид»

Шаг 4. Выставьте опцию отображения скрытых папок, файлов и дисков.

Нажимаем «Показать скрытые файлы, папки и диски»

На заметку! Обратите внимание, без подобной подготовки Вы не сможете отыскать место хранения журнала истории.

Шаг 5. Войдите в папку-хранилище настроек Яндекс браузера – в папке текущего пользователя пройдите путь «Пользователь» -> AppData -> Local -> Yandex -> YandexBrowser -> User Data -> Default. В указанной директории найдите файл «History» и удалите его.

Находим файл «History» и удаляем его

На заметку! Вручную удалять файлы истории можно с помощью так называемых программных оболочек, например: FAR Manager , Total Commander . Данные утилиты позволят работать с директориями напрямую, без изменения атрибутов папок.

Удаление истории с помощью пакетного файла

Шаг 1. Для создания bat-файла войдите в меню «Все программы», категория «Стандартные» и запустите «Блокнот».

Запускаем «Блокнот»

Шаг 2. Укажите команду удаления файла, содержащего историю просмотра:

del [здесь прописывается полный путь, включая имя файла с записями истории просмотра, описанный ранее]

На заметку! Файл « History » в батнике прописывается с тем расширением, с каким он указан в самой директории. Не забудьте указать в коде имя Вашего пользователя.

Шаг 3. Сохраните созданный Вами файл в удобную директорию. Чтобы сменить расширение на.bat, воспользуйтесь опцией «Тип файла», указав в ней «Все файлы», и при наименовании файла добавьте в конце расширение «bat».

На заметку! Вы можете создать задание, через соответствующий планировщик, для автоматического запуска очистки истории, с заданной периодичностью.

Удаление истории средствами браузера

Шаг 1. Войдите во вкладку «История», используя меню браузера.

Входим во вкладку «История»

На заметку! Открыть нужную вкладку можно используя сочетание клавиш « Ctrl + H «. Кроме того, браузер поддерживает режим работы «инкогнито», при котором история не сохраняется. Однако, данные о Ваших запросах будут доступны системному администратору и провайдеру услуг интернет. Помните, абсолютной анонимности в сети не существует.

Шаг 2. Отметьте элементы, предназначенные для удаления.

Шаг 3. Воспользуйтесь кнопкой «Удалить выбранные элементы» и подтвердите удаление.

Нажимаем «Удалить выбранные элементы» и подтверждаем действие

Шаг 4. Если необходимо удалить всю историю просмотров, воспользуйтесь соответствующей опцией.

Кнопка «Очистить историю»

Шаг 5. Отрегулируйте за какой период времени нужно удалить данные.

Шаг 6. Нажмите на соответствующую кнопку и дождитесь окончания процесса удаления.

Очистка истории с помощью программы CCleaner

Шаг 1. Откройте основной интерфейс CCleaner.

На заметку! При скачивании программы-установщика можно остановиться на «Full» версии (потребуется инсталляция программного продукта) или «Portable» (запуск без установки).

Шаг 2. Переключитесь на вкладку «Настройки».

Шаг 3. Войдите в пункт «Включения» и нажмите на кнопку «Добавить».

Нажимаем «Включения», а затем «Добавить»

Шаг 4. Отметьте опцию «Файл» и щелкните по кнопке «Обзор».

Отмечаем опцию «Файл» и щелкаем по кнопке «Обзор»

Шаг 5. Введите путь до файла с историей, как было описано ранее и щелкните «Открыть».

Шаг 6. Подтвердите выбор файла.

Шаг 7. Выделите появившуюся строку и воспользуйтесь сервисом «Удалить выбранное».

Нажимаем «Удалить выбранное»

Очистка истории с помощью программы Wipe & Clean

Шаг 1. Откройте основной программный интерфейс Wipe&Clean и выберите опцию «Try it!».

Открываем программу Wipe&Clean и выбираем опцию «Try it!»

Шаг 2. Выделите опцию «».

Выделяем опцию «»

Шаг 3. Щелкните по кнопке «Add File…», далее укажите директорию и файл хранения записей истории, как было описано ранее. После ссылки на файл подтвердите выбор нажав кнопку «Открыть».

Нажимаем кнопку «Открыть»

Шаг 4. Для сохранения списка воспользуйтесь процедурой «Save List».

Шаг 5. Укажите название списка и подтвердите его сохранение соответствующей кнопкой.

Шаг 6. Очистите историю путем нажатия «Wipe and Delete».

Нажимаем «Wipe and Delete»

Несмотря на невысокую популярность штатного браузера от Microsoft, у него есть постоянная аудитория. Пользователи привыкают к особенностям того или иного продукта: внешнему виду, функционалу, настройкам. Но для полноценной работы с программой нужно знать все основные инструменты. Поэтому рассмотрим, как посмотреть и очистить историю в Internet Explorer.

Как посмотреть историю?

Если есть подозрения, что кто-то без разрешения пользовался вашим компьютером или же просто некоторое время назад была закрыта вкладка с важной информацией – журнал посещений приходит на помощь.

Для его открытия нужно:

Очистка истории

Для сохранения конфиденциальности или же просто для освобождения дискового пространства журнал просмотров нужно регулярно очищать.

Средствами IE

В этом нет ничего сложного. Выполните следующие действия:

Внимание! При очистке паролей все сохраненные в браузере данные для входа на сайты удалятся! Удостоверьтесь, что не потеряете важную информацию.

С помощью CCleaner

Самый простой и эффективный способ, который позволит одним махом не только очистить историю в Internet Explorer, а и сможет повторить подобную манипуляцию для остальных браузеров. Кроме того, приложение очищает Windows от системного мусора, что освободит память жесткого диска и увеличит производительность компьютера.

Для этого нужно:

Также в CCleaner можно очистить историю посещений других браузеров. Для этого:

Теперь вы знаете, как очистить историю в Internet Explorer. Будьте внимательны: после удаления записей журнала восстановить их не получится.