Как отключить журнал событий Windows

Если вы хотите отключить журналы событий в Windows 11/10, этот пост сможет вам помочь. Вы можете отключить один журнал событий или несколько журналов. Журналы событий имеют решающее значение для диагностики и устранения неполадок. Они включены по умолчанию.

Безопасно ли отключать журнал событий Windows?

Отключение журналов событий безопасно и не влияет ни на какие программы. Эти журналы предназначены для диагностических целей, и если они вам не нужны, вы можете их отключить. Отключение этой функции повлияет на возможность регистрации системных событий.

Как отключить журнал событий Windows?

У вас есть четыре метода, которыми вы можете воспользоваться, чтобы отключить журналы событий в Windows 11/10:

1. Отключить службу журнала событий окна
2. Отключите журнал событий с помощью конфигурации системы.
3. Отключите отдельные журналы с помощью средства просмотра событий.
4. Использование свойств событий и редактора реестра.

1) Отключите службу журнала событий окна.

Использование диспетчера служб

Первое, что вы можете попробовать, это отключить службу журнала событий Windows.

Для этого откройте диспетчер служб и справа в столбце «Имена» найдите службу журнала событий Windows. Щелкните его правой кнопкой мыши и выберите «Свойства». Теперь в окне «Свойства» на вкладке «Общие» измените поле «Тип запуска» на «Отключено». Затем в разделе «Состояние службы» нажмите «Стоп». Нажмите «Применить» и «ОК», чтобы применить изменения. Это отключит весь процесс регистрации событий Windows.

Использование редактора реестра

Альтернативно вы можете отключить службу журнала событий Windows с помощью редактора реестра следующим образом:

Откройте regedit и перейдите по следующему пути в реестре:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog

Теперь перейдите вправо и дважды щелкните клавишу «Пуск» DWORD, чтобы открыть окно редактирования.

• Здесь установите для параметра «Значение» значение 4, чтобы изменить тип запуска на «Отключено».
• Чтобы изменить его обратно на «Автоматический/Автоматический (отложенный запуск)», установите для него значение 2, а для параметра «Вручную» установите значение 3.

Использование командной строки

Некоторым пользователям может быть удобно включать или отключать журналы событий через командную строку, и, следовательно, вот решение. Откройте командную строку с правами администратора, выполните приведенную ниже команду и нажмите Enter:

sc config eventlog start = отключено

Чтобы снова включить журнал событий, введите приведенную ниже команду и нажмите Enter:

sc config eventlog start = авто

Вы также можете отключить отдельную настройку или категорию аудита. Для этого выполните приведенную ниже команду и нажмите Enter:

Auditpol /set /subcategory: «Подключение к платформе фильтрации» /success:disable /failure:enable

Как только вы увидите сообщение об успехе, в будущем будет записываться меньше событий.

Кроме того, вы можете запустить приведенную ниже команду, чтобы отключить журнал событий через редактор реестра:

REG добавить “HKLMSYSTEMCurrentControlSetserviceseventlog” /v Start /t REG_DWORD /d 4 /f

Это изменит тип запуска службы журнала событий Windows на «Отключено». Перезагрузите компьютер, чтобы изменения вступили в силу.

Читайте: Исправление: Службы Windows не запускаются.

2) Отключите журнал событий с помощью конфигурации системы.

Другой способ отключить ведение журнала Windows Eveng — через настройку системы. Для этого нажмите Win + R, чтобы запустить консоль «Выполнить» > msconfig > «Конфигурация системы» > вкладка «Службы» > снимите флажок «Журнал событий Windows». Нажмите Применить и ОК. Перезагрузите компьютер, чтобы применить изменения.

Читайте: Как очистить журнал событий в Windows

3) Отключите отдельные журналы с помощью средства просмотра событий.

Отключить ведение журнала событий Windows для отдельных событий можно с помощью средства просмотра событий.

Перейдите в панель поиска Windows, введите «Просмотр событий» и щелкните результат, чтобы открыть его. Разверните Журнал приложений и служб > Microsoft > Windows > WFP. Здесь проверьте каждый IKE, чтобы найти конкретный журнал событий. Найдя его, выберите его и нажмите «Отключить журнал».

Читайте: журналы просмотра событий отсутствуют в Windows.

4) Использование свойств событий и редактора реестра

Вы также можете отключить ведение журнала событий Windows непосредственно через редактор реестра. Однако прежде чем вносить какие-либо изменения в параметры реестра, убедитесь, что вы создали резервную копию данных для восстановления случайно утерянных данных.

Для этого откройте «Просмотр событий», разверните «Журналы Windows» слева и выберите тип категории событий — например. Приложение, безопасность, настройка, система или пересылаемые события.

Затем справа щелкните правой кнопкой мыши журнал событий, который вы хотите отключить, и выберите «Свойства событий».

В окне «Свойства события» перейдите на вкладку «Сведения» и выберите «Просмотр XML». Здесь запишите GUID.

Теперь откройте редактор реестра и перейдите по указанному ниже пути в зависимости от категории журнала событий:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-SecurityHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Application

Здесь найдите GUID. Если вы его нашли, дважды щелкните ключ Enabled Dword справа и установите для него значение 0.

Повторите то же самое с ключом EnableProperty DWORD, чтобы отключить журнал событий Windows.

После этого выйдите из редактора реестра и перезагрузите компьютер, чтобы применить изменения.

Читайте: Как включить или отключить защищенную регистрацию событий в Windows.

Какой код события для выхода из Windows?

Существуют различные варианты кодов событий в зависимости от используемой версии Windows и конкретного журнала событий Windows, на который вы ссылаетесь. Обычно события выхода из системы находятся в разделе «Безопасность» журналов Windows в средстве просмотра событий. Например, если вы видите событие с кодом 4624 в журнале безопасности, это указывает на Вход в систему событие. Аналогично, событие с кодом 4647 означает выход из системы, инициированный пользователем, а событие 4634 генерируется, когда сеанс больше не существует, поскольку он был завершен.

СОВЕТ: Для подробного просмотра журналов событий вы можете использовать бесплатный инструмент под названием «Полный просмотр журнала событий».

Как архивировать журналы событий Windows?

Архивирование журналов событий может оказаться очень полезным в дальнейшем, например, для устранения неполадок и аудита. Итак, чтобы заархивировать журналы событий Windows, запустите «Просмотр событий», разверните «Журналы Windows» и выберите «Приложение». Теперь щелкните правой кнопкой мыши «Приложение» и выберите «Сохранить все события как» в контекстном меню. Далее в окне «Сохранить как» создайте имя файла и выберите желаемое место, где вы хотите сохранить архивированные журналы.