Журнал действий Windows и конфиденциальность
Журнал действий помогает отслеживать ваши действия на устройстве, например приложения и службы, которые вы используете, а также просматриваемые веб-сайты. Журнал действий хранится локально на вашем устройстве.
Функции, использующие журнал действий
Журнал действий используется в следующих функциях Windows. Вернитесь на эту страницу после выпусков и обновлений Windows, чтобы узнать о новых службах и функциях, использующих журнал действий.
- Временная шкала. Просмотрите временная шкала действий и укажите, следует ли возобновлять эти действия с устройства. Например, предположим, что вы редактируете документ Word на устройстве, но не можете завершить работу до того, как придется прекратить работу в течение дня. Если вы включите параметр Сохранить журнал действий на этом устройстве на странице параметров журнала действий, вы увидите, что Word действия в временная шкала на следующий день( и в течение следующих нескольких дней) и после этого вы сможете возобновить работу с ним.
- Microsoft Edge. При использовании устаревшая версия Microsoft Edge журнал браузера будет включен в журнал действий. Журнал действий не будет сохранен при просмотре в окнах InPrivate.
Параметры учетной записи Майкрософт не позволяют отправлять журнал действий в корпорацию Майкрософт, но журнал действий будет храниться на вашем устройстве, чтобы отслеживать действия, которые вы делаете.
Журнал действий для нескольких учетных записей
Для нескольких учетных записей журнал действий собирается и сохраняется локально для каждой локальной учетной записи, учетной записи Майкрософт или рабочей или учебной учетной записи, связанной с устройством, в разделе Параметры > учетные записи > Email & учетных записей. Эти учетные записи также можно просмотреть в Windows 10 в разделе Параметры > журнал действий > конфиденциальности, а в Windows 11 разделе Параметры > конфиденциальность & журнал действий> безопасности, где можно отфильтровать действия из определенных учетных записей, отображаемых в временная шкала. При скрытии учетной записи данные на устройстве не удаляются.
Управление параметрами журнала действий
Журнал действий можно настроить. В любой момент можно остановить сохранение журнала действий.
Остановите локальное сохранение журнала действий на устройстве
- Нажмите кнопку Пуск , а затем выберите Параметры >Конфиденциальность & безопасность >журнал действий.
- Переключите параметр Сохранить журнал действий на этом устройстве в положение Выкл.
Примечание: Возможность отправки журнала действий в Корпорацию Майкрософт устарела с Windows 11 23H2 и 22H2, 23 января 2024 г. KB5034204 обновление. Предыдущие версии Windows 11 до этого обновления по-прежнему будут иметь параметр, доступный на странице журнала действий. Если этот параметр включен, данные журнала действий по-прежнему будут отправляться в корпорацию Майкрософт. Этот параметр можно отключить или обновить до последней версии Windows, чтобы получить последние обновления.
Вы можете очистить и удалить журнал действий, хранящийся на устройстве.
Очистка журнала действий
- Нажмите кнопку Пуск , а затем выберите Параметры >Конфиденциальность & безопасность >журнал действий.
- Рядом с пунктом Очистить журнал действий для этой учетной записи выберите Очистить журнал.
Примечание: Если у вас есть предыдущий журнал действий, хранящийся в облаке до Windows 11 23H2 и 22H2, 23 января 2024 г. KB5034204 обновления, вы можете удалить ранее сохраненные данные в облаке с помощью кнопки Очистить журнал действий. В противном случае журнал действий будет автоматически удален в течение 30 дней с момента последней синхронизации данных с облаком.
Остановите локальное сохранение журнала действий на устройстве
- Нажмите кнопку Пуск , а затем выберите Параметры >Конфиденциальность >журнал действий.
- Снимите флажок Сохранить журнал действий на этом устройстве .
- Если этот параметр отключен, вы не сможете использовать какие-либо функции на устройстве, использующие журнал действий, например временная шкала. Вы по-прежнему сможете просматривать журнал браузера в Microsoft Edge.
- В предыдущих версиях Windows этот параметр назывался Разрешить Windows собирать мои действия с этого компьютера.
- Возможность отправки журнала действий в корпорацию Майкрософт устарела с Windows 10 22H2, 23 января 2024 г. по KB5034203 обновление. Предыдущие версии Windows 10 до этого обновления по-прежнему будут иметь параметр, доступный на странице журнала действий, и если этот параметр включен, данные журнала действий по-прежнему будут отправляться в корпорацию Майкрософт. Этот параметр можно отключить или обновить до последней версии Windows, чтобы получить последние обновления.
Вы можете очистить и удалить журнал действий, хранящийся на устройстве.
Очистка журнала действий
- Нажмите кнопку Пуск , а затем выберите Параметры >Конфиденциальность >журнал действий.
- В разделе Очистить журнал действий выберите Очистить.
Примечание: Если у вас есть предыдущий журнал действий, хранящийся в облаке до Windows 10 22H2, 23 января 2024 г. KB5034203 обновления, вы можете удалить ранее сохраненные данные в облаке с помощью кнопки Очистить журнал действий. В противном случае журнал действий будет автоматически удален в течение 30 дней с момента последней синхронизации данных с облаком.
В временная шкала вы можете очистить отдельные действия (или все действия) за отдельный день. Для этого щелкните правой кнопкой мыши действие и выберите нужный параметр.
Очистка журналов событий Event Viewer в Windows
09.11.2023
itpro
PowerShell, Windows 10, Windows 11, Windows Server 2019
комментария 2
В Windows вы можете очистить журналы событий Event Viewer с помощью графической оснастки eventvwr.msc, из командной строки и с помощью PowerShell.
�� Онлайн-курс по устройству компьютерных сетей
На углубленном курсе «Архитектура современных компьютерных сетей» вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.
Очистка журнал событий из графической консоли Event Viewer
Самый интуитивный способ очистки журналов событий Windows – воспользоваться графической консоль Event Viewer.
- Запустите консоль eventvwr.msc ;
- Щелкните правой кнопкой по журналу и выберите Clear Log;
Такой способ позволяет быстро удалить все события из одного конкретного журнала. Однако в Windows используется несколько сотен журналов для разных компонентов операционной системы и стороннего ПО.
По умолчанию Windows хранит журналы в файлах с расширением EVTX в каталоге %SystemRoot%\System32\Winevt\Logs\ .
Если вам нужно очистить их все – это будет утомительно вручную прощелкать все разделы Event Viewer и очистить каждый журнал. В этом случае для удаления событий лучше использовать PowerShell или командную строку.
Удаление логов Windows из командной строки
Для очистки журналов Windows из командной строки используется утилита wevtutil.exe.
Вывести список зарегистрированных в Windows журналов событий:
или короткий вариант:
Для удаления событий из одного конкретного журнала, скопируйте его имя и выполните команду:
WevtUtil cl Microsoft-Windows-GroupPolicy/Operational
Перед очисткой можно создать резервную копию событий в журнале в отдельный файл:
WevtUtil cl Microsoft-Windows-GroupPolicy/Operational /bu:GPOLOG_Bak.evtx
Можно очистить сразу все журналы событий из cmd.exe:
for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»
Для BAT файла нужно использовать немного другой синтаксис:
for /F «tokens=*» %%1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%%1»
Clear-EventLog: команда PowerShell для очистки журналов событий
В PowerShell для получения списка журналов событий Windows и их очистки можно использовать командлеты Get-WinEvent и Clear-EventLog.
Откройте консоль PowerShell с правами администратора, выведите список всех имен журналов в Windows и их настройки:
Чтобы удалить все события из двух журналов (например, журналов Security и System), выполните команду:
Clear-EventLog –LogName Security,System
При этом журнал очищается, и в него записывается событие с EventID 104 или 1102 с временем очистки, пользователем, выполнившим и описанием:
The System log file was cleared The audit log was cleared.
Для очистки административных и операционных журналов событий Windows, выполните такую однострочную команду PowerShell:
Get-WinEvent -ListLog * -Force | %
wevtutil el | Foreach-Object
Примечание. В нашем примере не удалось очистить 3 журнала из-за ошибки доступа. Попробуйте вручную очистить содержимое этих журналов из консоли Event Viewer.
�� Онлайн-курс по устройству компьютерных сетей
На углубленном курсе «Архитектура современных компьютерных сетей» вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.
Предыдущая статья Следующая статья 
Удаляем следы работы в Windows | Как очистить логи на взломанной системе
Очистка следов работы в операционной системе — один из важнейших этапов для скрытия каких либо действий.
Во время расследования криминалисты проверяют следы активности на компьютерах для выявления каких либо действий. Это один из примеров, почему вам стоит научиться работать с логами и понять как это работает.
Автор статьи никого не призывает к правонарушениям и отказывается нести ответственность за ваши действия. Вся информация предоставлена исключительно в ознакомительных целях. Спасибо!
Типы журналов и их расположение:
Для начала разберёмся с некоторыми типами журналов и их расположением для примера.
Журналы DHCP-сервера — это журналы, в которых ведется учет присвоения IP-адресов в сети. В этом журнале хранятся все события при взаимодействии между потенциальным DHCP-клиентом и DHCP-сервером. Наибольший интерес здесь представляют MAC-адреса клиентов, которые будут занесены в соответствующий журнал событий.
Журналы DHCP хранятся в каталоге % SystemRoot% \ System32 \ dhcp
Журналы веб-сервера хранят сообщения обо всех действиях при взаимодействии между веб-сервером и клиентским веб-браузером.
Файлы журнала Internet Information Server (IIS) находятся в
% SystemDrive% \ inetpub \ logs \ LogFiles
Event logs фиксируют все, что происходит в системе, с момента ее включения и до выключения. В Windows 10 конфигурация журналов событий хранится в следующем разделе реестра:
HKLM \ System \ ControlSet00x \ Services \ EventLog
Чтобы просмотреть список имён доступных журналов событий в Windows 10, используйте команду
Использование команды wevtutil gl представит информацию о конфигурации для выбранного журнала:
Стоит отметить, что сами системные журналы Windows хранятся по пути C:\Windows\System32\winevt \Logs в локальной системе:
Удаление следов:
В Windows средство просмотра событий является приложением, которое объединяет журналы приложений, безопасности, установки и системы на единой информационной панели. Это приложение располагается в следующем каталоге:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Просмотрщик событий
Также для открытия средства просмотра событий в Windows достаточно ввести сочетание клавиш Win + R , и в окне «Выполнить» ввести eventvwr.msc и нажать OK:
В окне «Просмотр событий» журналы можно очистить, просто выбрав функцию «Очистить журнал» кнопкой на панели «Действия». Чтобы очистить журналы для определенной категории, например всех журналов, которые находятся в группе «Приложение», просто щелкните правой кнопкой мыши имя группы и выберите «Очистить журнал»:
Также можно очистить журналы с помощью консоли:
for / F «tokens = *»% 1 в (‘wevtutil.exe el’) DO wevtutil.exe cl «% 1»
Либо мы можем воспользоваться Powershell.
Для этого вводим следующую команду:
wevtutil el | Foreach-Object
После выполнения команды журналы стираются, как показано в средстве просмотра событий:
Очистка журнала на взломанной системе через Meterpreter:
Meterpreter разработан, чтобы быть скрытым, мощным и динамически расширяемым. После успешного закрепления в системы вы можете использовать команду clearev для очистки журналов приложений, системы и безопасности:
Meterpreter очищает журналы каждой категории в целевой системе. Также указано количество очищенных записей.
В этой статье мы рассмотрели способы скрытия активности во время тестирования на проникновение, а также обычного использования системы.
На этом мы заканчиваем. Спасибо за внимание.
СПАСИБО ЗА ПРОЧТЕНИЕ СТАТЬИ! ЕЩЕ БОЛЬШЕ СВЕЖЕГО МАТЕРИАЛА ВЫ МОЖЕТЕ НАЙТИ В ТЕЛЕГРАМ КАНАЛЕ
Следите за мной в соц-сетях:
Удаление сохраненных журналов из Просмотр событий
В этой статье описывается удаление файлов в разделе «Сохраненные журналы» из Просмотр событий.
Область действия: Windows 10 — все выпуски
Исходный номер базы знаний: 2489761
Симптомы
При частом просмотре большого количества файлов EVT или EVTX в Просмотр событий (eventvwr.msc), можно заметить, что в сохраненных журналах накапливается большое количество файлов. Эти записи являются постоянными, даже если исходные файлы EVT и EVTX были удалены.
Причина
Средство просмотра событий сохраняет сохраненные расположения журналов в .XML формате. Файлы .XML можно найти в следующем каталоге.
%programdata%\Microsoft\Просмотр событий\ExternalLogs
Решение
Чтобы очистить сохраненные журналы, можно выполнить следующую команду из командной строки.
del /s /q %programdata%\microsoft\eventv~1\extern~1
Вы также можете перейти к следующему расположению и удалить журналы вручную:
C:\ProgramData\Microsoft\Просмотр событий\ExternalLogs
Содержимое этой папки скрыто, поэтому для их просмотра необходимо включить функцию «Показать скрытые файлы» и отключить функцию «Скрыть защищенные файлы операционной системы».
Дополнительные сведения
Просмотр событий считывает сохраненные расположения журналов при запуске и сохраняет их при закрытии. Чтобы гарантировать правильное удаление сохраненных журналов, необходимо выполнить следующие действия.
- Закройте все экземпляры Просмотр событий (MMC.EXE), прежде чем пытаться удалить сохраненные журналы из командной строки.
- Убедитесь, что открыт только Просмотр событий, если вы вручную удаляете сохраненные журналы из графического пользовательского интерфейса.
Обратная связь
Были ли сведения на этой странице полезными?