如何禁用 Windows 事件日誌

如果您想在 Windows 11/10 中禁用事件日誌，那麼這篇文章將能夠幫助您。您可以禁用單個事件日誌或多個日誌。事件日誌對於診斷至關重要，也是故障排除所必需的，並且默認情況下啟用它們。

禁用 Windows 事件日誌是否安全？

禁用事件日誌是安全的，並且不會影響任何程序。這些日誌用於診斷目的，如果您不需要它們，您可以禁用它們。禁用此功能將影響記錄系統事件的能力。

如何禁用Windows事件日誌？

您可以採用四種方法來禁用 Windows 11/10 中的事件日誌：

1. 禁用窗口事件日誌服務
2. 使用系統配置關閉事件日誌
3. 使用事件查看器禁用單個日誌
4. 使用事件屬性和註冊表編輯器。

1]禁用Window事件日誌服務

使用服務管理器

您可以嘗試的第一件事是禁用Windows 事件日誌服務。

為此，請打開“服務管理器”，然後在右側的“名稱”列下查找“Windows 事件日誌”服務。右鍵單擊它並選擇屬性。現在，在“屬性”窗口的“常規”選項卡下，將“啟動類型”字段更改為“已禁用”。接下來，在“服務狀態”下，單擊“停止”。按“應用”和“確定”應用更改。這將禁用整個 Windows 事件日誌記錄過程。

使用註冊表編輯器

或者，您可以使用註冊表編輯器禁用 Windows 事件日誌服務，如下所示：

打開 regedit 並導航到註冊表中的以下路徑：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog

現在，轉到右側並雙擊Start DWORD 鍵以打開“編輯”窗口。

• 此處，將值數據設置為4以將啟動類型更改為已禁用。
• 要將其更改回自動/自動（延遲啟動），請將其設置為2，對於手動，將其設置為3。

使用命令提示符

有些用戶可能喜歡通過命令提示符啟用或禁用事件日誌，因此，這是解決方案。使用管理員權限打開命令提示符，運行以下命令，然後按Enter：

sc config eventlog start= disabled

要再次啟用事件日誌，請輸入以下命令並按Enter：

sc config eventlog start= auto

您還可以禁用單個設置或審核類別。為此，請運行以下命令並按Enter：

auditpol /set /subcategory:"Filtering Platform Connection"/success:disable /failure:enable

一旦您看到成功消息，以後將記錄更少的事件。

或者，您可以運行以下命令通過註冊表編輯器禁用事件日誌：

REG add "HKLMSYSTEMCurrentControlSetserviceseventlog"/v Start /t REG_DWORD /d 4 /f

這會將Windows 事件日誌服務的啟動類型更改為“已禁用”。重新啟動您的電腦以使更改生效。

2]使用系統配置關閉事件日誌

禁用 Windows Eveng 日誌記錄的另一種方法是通過系統配置。為此，請按Win + R啟動運行控制台 > msconfig >系統配置>服務選項卡 > 取消選中Windows 事件日誌。按“應用”和“確定”。重新啟動您的電腦以應用更改。

3]使用事件查看器禁用單個日誌

要關閉單個事件的 Windows 事件日誌記錄，可以通過事件查看器進行。

轉到 Windows 搜索欄，輸入Event Viewer，然後單擊結果將其打開。展開應用程序和服務日誌> Microsoft > Windows > WFP。在這裡，檢查每個IKE以查找特定的事件日誌。找到它後，選擇它並單擊“禁用日誌”。

4]使用事件屬性和註冊表編輯器

您還可以直接通過註冊表編輯器禁用 Windows 事件日誌記錄。但是，在對註冊表設置進行任何更改之前，請確保創建數據備份以恢復意外丟失的任何數據。

為此，請打開事件查看器，展開左側的Windows 日誌，然後選擇事件類別的類型 – 例如。應用程序、安全性、設置、系統或轉發的事件。

接下來，在右側右鍵單擊要禁用的事件日誌，然後選擇“事件屬性”。

在“事件屬性”窗口中，轉到“詳細信息”選項卡，然後選擇“XML 視圖”。在這裡，記下GUID。

現在，打開註冊表編輯器，然後根據事件日誌類別導航到以下路徑：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System\


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Security HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Application

在這裡，查找GUID。如果找到它，請雙擊右側的Enabled Dword 鍵並將其設置為0。

對EnableProperty DWORD 鍵重複相同的操作以禁用 Windows 事件日誌。

完成後，退出註冊表編輯器並重新啟動電腦以應用更改。

Windows 註銷的事件代碼是什麼？

根據所使用的 Windows 版本和您所引用的特定 Windows 事件日誌，事件代碼有不同的種類。通常，註銷事件可在事件查看器中 Windows 日誌的安全部分下找到。例如，如果您在安全日誌中看到事件 ID 4624 ，則表示登錄事件。同樣，事件 ID 4647表示用戶發起的註銷，當會話因終止而不再存在時，會生成4634 。

如何歸檔 Windows 事件日誌？

歸檔事件日誌可以在以後提供很大的幫助，例如，用於故障排除和審計目的。因此，要存檔 Windows 事件日誌，請啟動事件查看器，展開Windows 日誌，然後選擇應用程序。現在，右鍵單擊“應用程序” ，然後從上下文菜單中選擇“將所有事件另存為” 。接下來，在“另存為”窗口中，創建文件名並選擇要保存存檔日誌的所需位置。