Jak wyłączyć dziennik zdarzeń systemu Windows

Jeśli chcesz wyłączyć dzienniki zdarzeń w systemie Windows 11/10, ten post będzie mógł Ci pomóc. Można wyłączyć pojedynczy dziennik zdarzeń lub wiele dzienników. Dzienniki zdarzeń są kluczowe dla diagnostyki i niezbędne do rozwiązywania problemów i są domyślnie włączone.

Czy wyłączenie dziennika zdarzeń systemu Windows jest bezpieczne?

Wyłączenie dzienników zdarzeń jest bezpieczne i nie ma wpływu na żadne programy. Te dzienniki służą do celów diagnostycznych i jeśli nie są Ci potrzebne, możesz je wyłączyć. Wyłączenie tej funkcji będzie miało wpływ na możliwość rejestrowania zdarzeń systemowych.

Jak wyłączyć dziennik zdarzeń systemu Windows?

Masz cztery metody, które możesz zastosować, aby wyłączyć dzienniki zdarzeń w systemie Windows 11/10:

1. Wyłącz usługę dziennika zdarzeń systemu Windows
2. Wyłącz dziennik zdarzeń za pomocą konfiguracji systemu
3. Wyłącz poszczególne dzienniki za pomocą Podglądu zdarzeń
4. Korzystanie z właściwości zdarzeń i edytora rejestru.

1] Wyłącz usługę dziennika zdarzeń okna

Korzystanie z Menedżera usług

Pierwszą rzeczą, którą możesz spróbować, jest wyłączenie usługi dziennika zdarzeń systemu Windows .

W tym celu otwórz Menedżera usług i po prawej stronie, w kolumnie Nazwy , poszukaj usługi Dziennik zdarzeń systemu Windows . Kliknij go prawym przyciskiem myszy i wybierz Właściwości . Teraz w oknie Właściwości , na karcie Ogólne zmień pole Typ uruchomienia na Wyłączone . Następnie w obszarze Stan usługi kliknij Zatrzymaj . Naciśnij Zastosuj i OK , aby zastosować zmiany. Spowoduje to wyłączenie całego procesu rejestrowania zdarzeń systemu Windows.

Korzystanie z Edytora rejestru

Alternatywnie możesz wyłączyć usługę dziennika zdarzeń systemu Windows za pomocą Edytora rejestru w następujący sposób:

Otwórz regedit i przejdź do poniższej ścieżki w rejestrze:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog

Teraz przejdź w prawo i kliknij dwukrotnie klawisz Start DWORD, aby otworzyć okno Edycja .

• Tutaj ustaw Dane wartości na 4 , aby zmienić Typ uruchomienia na Wyłączony .
• Aby zmienić go z powrotem na Automatyczny/Automatyczny (Opóźniony Start) , ustaw go na 2 , a dla Ręcznego , ustaw go na 3 .

Korzystanie z wiersza poleceń

Niektórzy użytkownicy mogą swobodnie włączać lub wyłączać dzienniki zdarzeń za pomocą wiersza poleceń, dlatego oto rozwiązanie. Otwórz Wiersz Poleceń z uprawnieniami administratora , uruchom poniższe polecenie i naciśnij Enter :

sc config eventlog start= disabled

Aby ponownie włączyć dziennik zdarzeń, wpisz poniższe polecenie i naciśnij Enter :

sc config eventlog start= auto

Możesz także wyłączyć pojedyncze ustawienie lub kategorię audytu. W tym celu uruchom poniższe polecenie i naciśnij Enter :

auditpol /set /subcategory:"Filtering Platform Connection"/success:disable /failure:enable

Gdy zobaczysz komunikat o powodzeniu, w przyszłości rejestrowanych będzie mniej zdarzeń.

Alternatywnie możesz uruchomić poniższe polecenie, aby wyłączyć dziennik zdarzeń za pomocą Edytora rejestru:

REG add "HKLMSYSTEMCurrentControlSetserviceseventlog"/v Start /t REG_DWORD /d 4 /f

Spowoduje to zmianę typu uruchamiania usługi dziennika zdarzeń systemu Windows na Wyłączony . Uruchom ponownie komputer, aby zmiany zaczęły obowiązywać.

2] Wyłącz dziennik zdarzeń za pomocą konfiguracji systemu

Innym sposobem wyłączenia rejestrowania systemu Windows Eveng jest konfiguracja systemu . Aby to zrobić, naciśnij Win + R , aby uruchomić konsolę Uruchom > msconfig > Konfiguracja systemu > zakładka Usługi > odznacz Dziennik zdarzeń systemu Windows . Naciśnij Zastosuj i OK . Uruchom ponownie komputer, aby zastosować zmiany.

3] Wyłącz poszczególne dzienniki za pomocą Podglądu zdarzeń

Aby wyłączyć rejestrowanie zdarzeń systemu Windows dla poszczególnych zdarzeń, należy skorzystać z Podglądu zdarzeń.

Przejdź do paska wyszukiwania systemu Windows, wpisz Podgląd zdarzeń i kliknij wynik, aby go otworzyć. Rozwiń Dziennik aplikacji i usług > Microsoft > Windows > WFP . Tutaj sprawdź każdy IKE , aby znaleźć konkretny dziennik zdarzeń. Gdy go znajdziesz, wybierz go i kliknij Wyłącz dziennik .

4] Korzystanie z właściwości zdarzenia i edytora rejestru

Rejestrowanie zdarzeń systemu Windows można także wyłączyć bezpośrednio w Edytorze rejestru. Zanim jednak dokonasz jakichkolwiek zmian w ustawieniach rejestru, pamiętaj o utworzeniu kopii zapasowej danych, aby odzyskać przypadkowo utracone dane.

W tym celu otwórz Podgląd zdarzeń, rozwiń Dzienniki systemu Windows po lewej stronie i wybierz typ kategorii zdarzenia – np. Zdarzenia dotyczące aplikacji, zabezpieczeń, konfiguracji, systemu lub przekazywania.

Następnie po prawej stronie kliknij prawym przyciskiem myszy dziennik zdarzeń, który chcesz wyłączyć, i wybierz Właściwości zdarzenia .

W oknie Właściwości zdarzenia przejdź do zakładki Szczegóły i wybierz Widok XML . Tutaj zanotuj identyfikator GUID .

Teraz otwórz Edytor rejestru i przejdź do poniższej ścieżki w oparciu o kategorię Dziennika zdarzeń:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System\


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Security HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Application

Tutaj poszukaj identyfikatora GUID . Jeśli go znajdziesz, kliknij dwukrotnie klawisz Enabled Dword po prawej stronie i ustaw go na 0 .

Powtórz to samo z kluczem DWORD EnableProperty , aby wyłączyć dziennik zdarzeń systemu Windows.

Po zakończeniu zamknij Edytor rejestru i uruchom ponownie komputer, aby zastosować zmiany.

Jaki jest kod zdarzenia wylogowania z systemu Windows?

Istnieją różne odmiany kodów zdarzeń w zależności od używanej wersji systemu Windows i konkretnego dziennika zdarzeń systemu Windows, do którego się odwołujesz. Zwykle zdarzenia wylogowania można znaleźć w sekcji Bezpieczeństwo dzienników systemu Windows w Podglądzie zdarzeń. Na przykład, jeśli w dzienniku zabezpieczeń zobaczysz identyfikator zdarzenia 4624 , oznacza to zdarzenie logowania. Podobnie zdarzenie o identyfikatorze 4647 oznacza wylogowanie zainicjowane przez użytkownika , a 4634 jest generowane, gdy sesja już nie istnieje po jej zakończeniu.

Jak zarchiwizować dzienniki zdarzeń systemu Windows?

Archiwizowanie dzienników zdarzeń może być później bardzo pomocne, na przykład przy rozwiązywaniu problemów i celach audytu. Aby zarchiwizować dzienniki zdarzeń systemu Windows, uruchom Podgląd zdarzeń , rozwiń Dzienniki systemu Windows i wybierz Aplikacja . Teraz kliknij prawym przyciskiem myszy aplikację i wybierz opcję Zapisz wszystkie zdarzenia jako z menu kontekstowego. Następnie w oknie Zapisz jako utwórz nazwę pliku i wybierz żądaną lokalizację, w której chcesz zapisać zarchiwizowane logi.