Windows系统日志可以删除吗?
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Windows系统日志可以删除吗?相关的知识,希望对你有一定的参考价值。
删除了对电脑系统有影响吗?
windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。系统日志包括系统日志、应用程序日志和安全日志。
材料/工具:win10
1、打开win10电脑右键win10桌面左下角的开始菜单,然后在点击弹出菜单里的【运行】
2、在打开的运行对话框里,输入【msconfig】然后点击确定
3、在打开的win10系统配置对话框里,直接点击【工具】选项卡
4、先选中事件查看器,然后在点击右下角的【启动】
5、打开事件查看器,然后点击【Windows日志】展开子菜单
6、在点击子菜单里的系统选项,然后在点击右侧的【清除日志】
7、点击清除后,弹出一个清除日志对话框直接点击清除按钮 。
日志文件可以删除。
日志文件(Log文件)通常是系统或者某些软件对已完成的某种处理的记录,以便将来做为参考,它并没有固定的格式,通常是文本文件,可以用记事本打开以查看内容,当然很可能是其它格式,有些直接打开就是乱码。
通俗的说,日志文件,记录的是操作系统或者软件的一些处理记录,在Windows电脑,软件以及服务器中非常常见。
日志文件对于普通用户来说,并没有什么用,但是对于一些技术人员来说,日志文件具有很大的参考价值。比如Windows系统出现问题,一些技术人员可以通过查看Log日常文件,检查是否有一些报错记录,然后根据其报错,找到问题的根源。
日志文件跟系统以及软件等没有直接关联,说白了就是系统或者软件产生的记录文件,类似于记事本文本,删除了不会影响系统或者软件本身的正常使用。
值得一提的是,Log文件尽管可以删除,但一些专业场所建议保留一段时间或者确保环境安全后再删除,因为一旦出现疑问紧急时间,技术人员可以查看Log日志文件,找出问题。 参考技术B 你好!Windows系统日志可以删除的,因为这只是一个记录而已,删除后对系统是没有影响的。本回答被提问者采纳 参考技术C 可以删除,对系统并没有什么影响。 参考技术D 这样的情况,可以通过安全软件来检测系统的垃圾文件和缓存,在安全软件中提示删除的都是可以安全清除不会影响系统的
Windows日志筛选
Windows日志筛选因工作需求开启文件系统审核,因Windows日志管理器并不方便筛选查阅,所以使用powershell方法进行筛选。
一、需求分析
-
存在问题
- 日志量巨大(每天约1G)
- 日志管理器查询日志不便
-
主要目标
- 启用文件系统审核
- 快捷查询用户的删除操作
- 解决方案
- 采用轮替方式归档日志(500MB)
- 日志存放60天(可用脚本删除超过期限日志档案)
- 使用Get-WinEvent中的FilterXPath过日志进行筛选,格式打印
- 删除操作码为0x10000,可对其进行筛选
二、文件审核设置
2.1 开启文件系统审核功能
- secpol.msc
- Advanced Audit Policy Configuration
- Object Access
- Audit File System
- [x] Configure the following audit events:
- [x] Success
- [x] Failure
2.2 建立共享文件夹
- Folder Properties
- Sharing
- Choose people to share with
- Everyone
2.3 设置文件夹审核的用户组
- Folder Properties
- Security
- Advanced
- Auditing
- Add user
三、方法
- 筛选事件ID为4460日志
PS C:\Windows\system32> Get-WinEvent -LogName Security -FilterXPath "*[System[EventID=4660]]"
ProviderName: Microsoft-Windows-Security-Auditing
TimeCreated Id LevelDisplayName Message
----------- -- ---------------- -------
5/22/2018 10:01:37 AM 4660 Information An object was deleted....
5/22/2018 9:03:11 AM 4660 Information An object was deleted....- 筛选文件删除日志
PS C:\Windows\system32> Get-WinEvent -LogName "Security" -FilterXPath "*[EventData[Data[@Name=‘AccessMask‘]=‘0x10000‘]]"
ProviderName: Microsoft-Windows-Security-Auditing
TimeCreated Id LevelDisplayName Message
----------- -- ---------------- -------
5/22/2018 10:01:37 AM 4663 Information An attempt was made to access an object....
5/22/2018 9:03:11 AM 4663 Information An attempt was made to access an object....- 筛选指定用户文件删除日志
PS C:\Windows\system32> Get-WinEvent -LogName "Security" -FilterXPath "*[EventData[Data[@Name=‘AccessMask‘]=‘0x10000‘]] and *[EventData[Data[@Name=‘SubjectUserName‘]=‘lxy‘]]"
ProviderName: Microsoft-Windows-Security-Auditing
TimeCreated Id LevelDisplayName Message
----------- -- ---------------- -------
5/22/2018 9:03:11 AM 4663 Information An attempt was made to access an object....- 以变量方式筛选指定用户文件删除日志
PS C:\Windows\system32> $AccessMask=‘0x10000‘
PS C:\Windows\system32> $UserName=‘lxy‘
PS C:\Windows\system32> Get-WinEvent -LogName "Security" -FilterXPath "*[EventData[Data[@Name=‘AccessMask‘]=‘$AccessMask‘]] and *[EventData[Data[@Name=‘SubjectUserName‘]=‘$UserName‘]]"
ProviderName: Microsoft-Windows-Security-Auditing
TimeCreated Id LevelDisplayName Message
----------- -- ---------------- -------
5/22/2018 9:03:11 AM 4663 Information An attempt was made to access an object....- 从保存的文件筛选文件删除日志
PS C:\Users\F2844290> Get-WinEvent -Path ‘C:\Users\F2844290\Desktop\SaveSec.evtx‘ -FilterXPath "*[EventData[Data[@Name=‘
AccessMask‘]=‘0x10000‘]]"PS C:\Windows\system32> $AccessMask=‘0x10000‘- 筛选10分钟内发生的安全性日志
XML中时间计算单位为ms,10minute=60 10 1000=600000
PS C:\Windows\system32> Get-WinEvent -LogName Security -FilterXPath "*[System[TimeCreated[timediff(@SystemTime) < 600000]]]"
ProviderName: Microsoft-Windows-Security-Auditing
TimeCreated Id LevelDisplayName Message
----------- -- ---------------- -------
5/22/2018 4:11:30 PM 4663 Information An attempt was made to access an object....
5/22/2018 4:11:30 PM 4663 Information An attempt was made to access an object....
5/22/2018 4:11:30 PM 4663 Information An attempt was made to access an object....
5/22/2018 4:11:30 PM 4663 Information An attempt was made to access an object....- 其它
若有语法不明之处,可参考日志管理器中筛选当前日志的XML方法。
四、其它文件
- 文件删除日志结构
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/22/2018 9:03:11 AM
Event ID: 4663
Task Category: File System
Level: Information
Keywords: Audit Success
User: N/A
Computer: IDX-ST-05
Description:
An attempt was made to access an object.
Subject:
Security ID: IDX-ST-05\lxy
Account Name: lxy
Account Domain: IDX-ST-05
Logon ID: 0x2ed3b8
Object:
Object Server: Security
Object Type: File
Object Name: C:\Data\net.txt
Handle ID: 0x444
Process Information:
Process ID: 0x4
Process Name:
Access Request Information:
Accesses: DELETE
Access Mask: 0x10000
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4663</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12800</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2018-05-22T01:03:11.876720000Z" />
<EventRecordID>1514</EventRecordID>
<Correlation />
<Execution ProcessID="4" ThreadID="72" />
<Channel>Security</Channel>
<Computer>IDX-ST-05</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-21-1815651738-4066643265-3072818021-1004</Data>
<Data Name="SubjectUserName">lxy</Data>
<Data Name="SubjectDomainName">IDX-ST-05</Data>
<Data Name="SubjectLogonId">0x2ed3b8</Data>
<Data Name="ObjectServer">Security</Data>
<Data Name="ObjectType">File</Data>
<Data Name="ObjectName">C:\Data\net.txt</Data>
<Data Name="HandleId">0x444</Data>
<Data Name="AccessList">%%1537
</Data>
<Data Name="AccessMask">0x10000</Data>
<Data Name="ProcessId">0x4</Data>
<Data Name="ProcessName">
</Data>
</EventData>
</Event>- 文件操作码表
File Read
Accesses: ReadData (or ListDirectory)
AccessMask: 0x1
File Write
Accesses: WriteData (or AddFile)
AccessMask: 0x2
File Delete
Accesses: DELETE
AccessMask: 0x10000
File Rename
Accesses: DELETE
AccessMask: 0x10000
File Copy
Accesses: ReadData (or ListDirectory)
AccessMask: 0x1
File Permissions Change
Accesses: WRITE_DAC
AccessMask: 0x40000
File Ownership Change
Accesses: WRITE_OWNER
AccessMask: 0x80000以上是关于Windows系统日志可以删除吗?的主要内容,如果未能解决你的问题,请参考以下文章