如何禁用 Windows 事件日誌

如何禁用 Windows 事件日誌

如果您想在 Windows 11/10 中禁用事件日誌,那麼這篇文章將能夠幫助您。您可以禁用單個事件日誌或多個日誌。事件日誌對於診斷至關重要,也是故障排除所必需的,並且默認情況下啟用它們。

禁用 Windows 事件日誌

禁用 Windows 事件日誌是否安全?

禁用事件日誌是安全的,並且不會影響任何程序。這些日誌用於診斷目的,如果您不需要它們,您可以禁用它們。禁用此功能將影響記錄系統事件的能力。

如何禁用Windows事件日誌?

您可以採用四種方法來禁用 Windows 11/10 中的事件日誌:

  1. 禁用窗口事件日誌服務
  2. 使用系統配置關閉事件日誌
  3. 使用事件查看器禁用單個日誌
  4. 使用事件屬性和註冊表編輯器。

1]禁用Window事件日誌服務

使用服務管理器

禁用 Windows 事件日誌

您可以嘗試的第一件事是禁用Windows 事件日誌服務

為此,請打開“服務管理器”,然後在右側的“名稱”列下查找“Windows 事件日誌”服務。右鍵單擊它並選擇屬性。現在,在“屬性”窗口的“常規”選項卡下,將“啟動類型”字段更改為“已禁用”。接下來,在“服務狀態”下,單擊“停止”。按“應用”“確定”應用更改。這將禁用整個 Windows 事件日誌記錄過程。

使用註冊表編輯器

或者,您可以使用註冊表編輯器禁用 Windows 事件日誌服務,如下所示:

打開 regedit 並導航到註冊表中的以下路徑:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog

現在,轉到右側並雙擊Start DWORD 鍵以打開“編輯”窗口。

  • 此處,將值數據設置為4以將啟動類型更改為已禁用
  • 要將其更改回自動/自動(延遲啟動),請將其設置為2,對於手動,將其設置為3

使用命令提示符

禁用 Windows 事件日誌

有些用戶可能喜歡通過命令提示符啟用或禁用事件日誌,因此,這是解決方案。使用管理員權限打開命令提示符,運行以下命令,然後按Enter

sc config eventlog start= disabled

要再次啟用事件日誌,請輸入以下命令並按Enter

sc config eventlog start= auto

您還可以禁用單個設置或審核類別。為此,請運行以下命令並按Enter

auditpol /set /subcategory:"Filtering Platform Connection"/success:disable /failure:enable

一旦您看到成功消息,以後將記錄更少的事件。

或者,您可以運行以下命令通過註冊表編輯器禁用事件日誌:

REG add "HKLMSYSTEMCurrentControlSetserviceseventlog"/v Start /t REG_DWORD /d 4 /f

這會將Windows 事件日誌服務的啟動類型更改為“已禁用”。重新啟動您的電腦以使更改生效。

2]使用系統配置關閉事件日誌

禁用 Windows 事件日誌

禁用 Windows Eveng 日誌記錄的另一種方法是通過系統配置。為此,請按Win + R啟動運行控制台 > msconfig >系統配置>服務選項卡 > 取消選中Windows 事件日誌。按“應用”“確定”。重新啟動您的電腦以應用更改。

3]使用事件查看器禁用單個日誌

禁用 Windows 事件日誌

要關閉單個事件的 Windows 事件日誌記錄,可以通過事件查看器進行。

轉到 Windows 搜索欄,輸入Event Viewer,然後單擊結果將其打開。展開應用程序和服務日誌> Microsoft > Windows > WFP。在這裡,檢查每個IKE以查找特定的事件日誌。找到它後,選擇它並單擊“禁用日誌”

4]使用事件屬性和註冊表編輯器

禁用 Windows 事件日誌

您還可以直接通過註冊表編輯器禁用 Windows 事件日誌記錄。但是,在對註冊表設置進行任何更改之前,請確保創建數據備份以恢復意外丟失的任何數據。

為此,請打開事件查看器,展開左側的Windows 日誌,然後選擇事件類別的類型 – 例如。應用程序、安全性、設置、系統或轉發的事件。

接下來,在右側右鍵單擊要禁用的事件日誌,然後選擇“事件屬性”

“事件屬性”窗口中,轉到“詳細信息”選項卡,然後選擇“XML 視圖”。在這裡,記下GUID

現在,打開註冊表編輯器,然後根據事件日誌類別導航到以下路徑:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System\

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Security HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Application

在這裡,查找GUID。如果找到它,請雙擊右側的Enabled Dword 鍵並將其設置為0

對EnableProperty DWORD 鍵重複相同的操作以禁用 Windows 事件日誌。

完成後,退出註冊表編輯器並重新啟動電腦以應用更改。

Windows 註銷的事件代碼是什麼?

根據所使用的 Windows 版本和您所引用的特定 Windows 事件日誌,事件代碼有不同的種類。通常,註銷事件可在事件查看器中 Windows 日誌的安全部分下找到。例如,如果您在安全日誌中看到事件 ID 4624 ,則表示登錄事件。同樣,事件 ID 4647表示用戶發起的註銷,當會話因終止而不再存在時,會生成4634 。

如何歸檔 Windows 事件日誌?

歸檔事件日誌可以在以後提供很大的幫助,例如,用於故障排除和審計目的。因此,要存檔 Windows 事件日誌,請啟動事件查看器,展開Windows 日誌,然後選擇應用程序。現在,右鍵單擊“應用程序” ,然後從上下文菜單中選擇“將所有事件另存為” 。接下來,在“另存為”窗口中,創建文件名並選擇要保存存檔日誌的所需位置。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *