Если вы хотите отключить журналы событий в Windows 11/10, этот пост сможет вам помочь. Вы можете отключить один журнал событий или несколько журналов. Журналы событий имеют решающее значение для диагностики и устранения неполадок. Они включены по умолчанию.
Безопасно ли отключать журнал событий Windows?
Отключение журналов событий безопасно и не влияет ни на какие программы. Эти журналы предназначены для диагностических целей, и если они вам не нужны, вы можете их отключить. Отключение этой функции повлияет на возможность регистрации системных событий.
Как отключить журнал событий Windows?
У вас есть четыре метода, которыми вы можете воспользоваться, чтобы отключить журналы событий в Windows 11/10:
Программы для Windows, мобильные приложения, игры — ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале — Подписывайтесь:)
- Отключить службу журнала событий окна
- Отключите журнал событий с помощью конфигурации системы.
- Отключите отдельные журналы с помощью средства просмотра событий.
- Использование свойств событий и редактора реестра.
1) Отключите службу журнала событий окна.
Использование диспетчера служб
Первое, что вы можете попробовать, это отключить службу журнала событий Windows.
Для этого откройте диспетчер служб и справа в столбце «Имена» найдите службу журнала событий Windows. Щелкните его правой кнопкой мыши и выберите «Свойства». Теперь в окне «Свойства» на вкладке «Общие» измените поле «Тип запуска» на «Отключено». Затем в разделе «Состояние службы» нажмите «Стоп». Нажмите «Применить» и «ОК», чтобы применить изменения. Это отключит весь процесс регистрации событий Windows.
Использование редактора реестра
Альтернативно вы можете отключить службу журнала событий Windows с помощью редактора реестра следующим образом:
Откройте regedit и перейдите по следующему пути в реестре:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventLog
Теперь перейдите вправо и дважды щелкните клавишу «Пуск» DWORD, чтобы открыть окно редактирования.
- Здесь установите для параметра «Значение» значение 4, чтобы изменить тип запуска на «Отключено».
- Чтобы изменить его обратно на «Автоматический/Автоматический (отложенный запуск)», установите для него значение 2, а для параметра «Вручную» установите значение 3.
Использование командной строки
Некоторым пользователям может быть удобно включать или отключать журналы событий через командную строку, и, следовательно, вот решение. Откройте командную строку с правами администратора, выполните приведенную ниже команду и нажмите Enter:
sc config eventlog start = отключено
Чтобы снова включить журнал событий, введите приведенную ниже команду и нажмите Enter:
sc config eventlog start = авто
Вы также можете отключить отдельную настройку или категорию аудита. Для этого выполните приведенную ниже команду и нажмите Enter:
Auditpol /set /subcategory: «Подключение к платформе фильтрации» /success:disable /failure:enable
Как только вы увидите сообщение об успехе, в будущем будет записываться меньше событий.
Кроме того, вы можете запустить приведенную ниже команду, чтобы отключить журнал событий через редактор реестра:
REG добавить “HKLMSYSTEMCurrentControlSetserviceseventlog” /v Start /t REG_DWORD /d 4 /f
Это изменит тип запуска службы журнала событий Windows на «Отключено». Перезагрузите компьютер, чтобы изменения вступили в силу.
Читайте: Исправление: Службы Windows не запускаются.
2) Отключите журнал событий с помощью конфигурации системы.
Другой способ отключить ведение журнала Windows Eveng — через настройку системы. Для этого нажмите Win + R, чтобы запустить консоль «Выполнить» > msconfig > «Конфигурация системы» > вкладка «Службы» > снимите флажок «Журнал событий Windows». Нажмите Применить и ОК. Перезагрузите компьютер, чтобы применить изменения.
Читайте: Как очистить журнал событий в Windows
3) Отключите отдельные журналы с помощью средства просмотра событий.
Отключить ведение журнала событий Windows для отдельных событий можно с помощью средства просмотра событий.
Перейдите в панель поиска Windows, введите «Просмотр событий» и щелкните результат, чтобы открыть его. Разверните Журнал приложений и служб > Microsoft > Windows > WFP. Здесь проверьте каждый IKE, чтобы найти конкретный журнал событий. Найдя его, выберите его и нажмите «Отключить журнал».
Читайте: журналы просмотра событий отсутствуют в Windows.
4) Использование свойств событий и редактора реестра
Вы также можете отключить ведение журнала событий Windows непосредственно через редактор реестра. Однако прежде чем вносить какие-либо изменения в параметры реестра, убедитесь, что вы создали резервную копию данных для восстановления случайно утерянных данных.
Для этого откройте «Просмотр событий», разверните «Журналы Windows» слева и выберите тип категории событий — например. Приложение, безопасность, настройка, система или пересылаемые события.
Затем справа щелкните правой кнопкой мыши журнал событий, который вы хотите отключить, и выберите «Свойства событий».
В окне «Свойства события» перейдите на вкладку «Сведения» и выберите «Просмотр XML». Здесь запишите GUID.
Теперь откройте редактор реестра и перейдите по указанному ниже пути в зависимости от категории журнала событий:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlWMIAutologgerEventLog-System HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlWMIAutologgerEventLog-SecurityHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlWMIAutologgerEventLog-Application
Здесь найдите GUID. Если вы его нашли, дважды щелкните ключ Enabled Dword справа и установите для него значение 0.
Повторите то же самое с ключом EnableProperty DWORD, чтобы отключить журнал событий Windows.
После этого выйдите из редактора реестра и перезагрузите компьютер, чтобы применить изменения.
Читайте: Как включить или отключить защищенную регистрацию событий в Windows.
Какой код события для выхода из Windows?
Существуют различные варианты кодов событий в зависимости от используемой версии Windows и конкретного журнала событий Windows, на который вы ссылаетесь. Обычно события выхода из системы находятся в разделе «Безопасность» журналов Windows в средстве просмотра событий. Например, если вы видите событие с кодом 4624 в журнале безопасности, это указывает на Вход в систему событие. Аналогично, событие с кодом 4647 означает выход из системы, инициированный пользователем, а событие 4634 генерируется, когда сеанс больше не существует, поскольку он был завершен.
СОВЕТ: Для подробного просмотра журналов событий вы можете использовать бесплатный инструмент под названием «Полный просмотр журнала событий».
Как архивировать журналы событий Windows?
Архивирование журналов событий может оказаться очень полезным в дальнейшем, например, для устранения неполадок и аудита. Итак, чтобы заархивировать журналы событий Windows, запустите «Просмотр событий», разверните «Журналы Windows» и выберите «Приложение». Теперь щелкните правой кнопкой мыши «Приложение» и выберите «Сохранить все события как» в контекстном меню. Далее в окне «Сохранить как» создайте имя файла и выберите желаемое место, где вы хотите сохранить архивированные журналы.