Как очистить логи на компьютере


Как удалить временные файлы в Windows 7. Log, tmp, bak

Windows и многие приложения создают временные файлы. Временный файл содержит данные, которые приложение не желает хранить в оперативной памяти из-за ее неустойчивости. В то же время, в отличие от документов, которые Вы создаете с помощью приложения, эти данные не предназначены для долговременного хранения. Таким образом, временные данные представляют собой нечто среднее — они необходимы, но лишь на короткое время. Проблема заключается в том, что некоторые временные файлы существуют дольше, чем изначально предполагается. Зачастую в этом виновато создавшее их приложение.

Перед началом поиска временных файлов с целью их удаления закройте все приложения, которые можете. Может оказаться, что работающие приложения используют временные файлы для краткосрочного хранения данных или других нужд. Удаление временного файла в этом случае может привести к потере данных и прочим нежелательным последствиям.

Использование командной строки вместо проводника

Хотя проводник и не обнаруживает все временные файлы (лишь их большую часть), он располагает замечательным интерфейсом, а возможность увидеть файлы перед удалением делает очистку значительно безопаснее, чем при использовании утилит командной строки. Все, что Вам требуется сделать после обнаружения временных файлов для их безвозвратного удаления из системы, — выделить и нажать клавиши Shift+Del.

Существует две утилиты командной строки, составляющие альтернативу проводнику — Del и Erase. Однако при их выполнении я рекомендую соблюдать осторожность. Убедитесь в наличии полной резервной копии системы и закройте как можно больше открытых приложений (по возможности оставьте только окно командной строки). Действуют утилиты Del и Erase одинаково, поэтому в качестве примера рассмотрим только утилиту Del. Чтобы удалить файл, введите в командной строке следующую команду:

Del имя_файла

Этот способ не предполагает возможности восстановления, поэтому Вы не обнаружите удаленные файлы в корзине. Ниже перечислены ключи утилиты Del.

  • — удаляет файлы с заданным атрибутом. Атрибут указывается путем добавления идентифицирующей его буквы: А (архивный), Н (скрытый), R (только чтение) и S (системный). Атрибут может содержать знак - (минус), указывающий на то, что файлы с данным атрибутом, напротив, не следует удалять. Например, чтобы удалить файлы для чтения без системного атрибута, следует указать два ключа — /AR и /А-S.
  • /F — удаляет файлы только для чтения. По умолчанию утилита Del игнорирует их, поскольку удаление таких файлов требует изменения их статуса. Никогда не используйте этот ключ при удалении временных файлов. При обнаружении временного файла с атрибутом «только чтение» выясните причину его установки. Возможно, это обусловлено проблемами в приложении, которое создало временный файл.
  • — предписывает утилите Del выводить запрос на подтверждение при удалении файла. Используйте этот ключ, если сомневаетесь в необходимости удаления всех файлов по заданному критерию. Хотя подобный метод займет у Вас некоторое время, это лучше, чем совершить ошибку, удалив полезные файлы.
  • /Q — этот ключ самый опасный, поскольку отключает вывод на экран удаляемых файлов. Если Вы не желаете видеть файлы-, то более удачным решением является перенаправить вывод с экрана в файл. Например, чтобы удалить все файлы, начинающиеся с символа ~ (тильда), и перенаправить вывод в файл MyDeletions.TXT, введите команду:

Del         /S > Удаленные_файлы.ТХТ

 

Список файлов не появится на экране, однако будет сохранен для последующего анализа.

  • /S — удаляет все файлы, удовлетворяющие заданному критерию, в текущей папке и всех вложенных в нее папках. При использовании в корневой папке этот ключ позволяет удалить файлы определенного вида на всем замененном жестком диске. Следует пользоваться данной функцией с осторожностью — во вложенных папках могут оказаться файлы, соответствующие критерию удаления, которые, на самом деле, нужно сохранить.

Достоинства утилиты Del — ее высокое быстродействие и полнота. В отличие от проводника она не пропускает файлы и работает гораздо быстрее. С ее помощью можно очистить жесткий диск за считанные секунды, в то время как использование проводника занимает минуты.

 

Удаление файлов, начинающихся с тильды

Пожалуй, «самыми» временными файлами можно назвать те, чьи имена начинаются с символа ~ (тильда). Windows и многие приложения, используют файлы, начинающиеся с символа ~ (тильда) и не имеющие расширения, в основном, для хранения битов и фрагментов информации. При этом ни Word, ни другие приложения не прикладывают должных усилий к удалению этих файлов.

При наличии расширения (как, например, файлы, создаваемые Microsoft Word) временный файл представляет собой промежуточную форму документа, над которым Вы работаете. Тем не менее, если окно Word не открыто, а Вы видите подобные файлы на жестком диске, то это обычно указывает на некорректное завершение Word. В этом случае временные файлы могут быть использованы для восстановления потерянных данных документа. К сожалению, после восстановления временные файлы не удаляются, поэтому, возможно, имеет смысл удалить их вручную. Общая идея такова: файл с расширением, как правило, является временной версией документа, и ее не следует удалять, не приняв взвешенного решения.

Вне зависимости от того, сколько приложений Вы закроете при очистке жесткого диска, несколько файлов, начинающихся с символа ~ (тильда), все равно останутся открытыми. Как проводник, так и утилита Del выведут сообщения о том, что эти файлы используются, и откажутся удалять их при любых условиях. Просто оставьте эти файлы в покое.

Не удивляйтесь тому, что размер некоторых временных файлов равен 0 байт (другими словами, в них отсутствует информация). Часть этих файлов действительно пуста, а часть скрывает свою информацию при помощи так называемых потоков данных. Тем не менее, их следует удалить, чтобы освободить элементы каталога для других приложений. Иногда записей каталога не остается, что приводит к нестабильности системы.

Уничтожение ТМР и ВАК-файлов

Обычно удалить ТМР-файлы с жесткого диска можно, закрыв все приложения. Возможно, Windows оставит 1-2 файла открытыми, однако в ТМР-файле никогда не содержатся данные, которые пригодятся Вам в будущем. Удаление ТМР-файлов — дело вполне безопасное и безусловно полезное.

 

Аналогично ВАК файлы (резервные файлы) содержат старые копии документов, с которыми Вы работаете. После закрытия приложения ВАК-файл перестает использоваться, и Вы можете смело удалить его. Я, как правило, сохраняю ВАК-файлы до создания резервной копии жесткого диска, и удаляю их в процессе последующей очистки. ВАК-файл представляет собой временную резервную копию данных; Вы можете использовать его для восстановления данных, потерянных в результате сбоя приложения.

Не все приложения присваивают файлам расширение ВАК, например, Microsoft Word вместо ВАК использует расширение WBK. Назначение этих файлов то же самое, просто компания-разработчик делает все возможное, чтобы запутать пользователей. Расширения временных файлов должны быть указаны в руководстве пользователя приложения, однако иногда, чтобы определить их, необходимо создать файл и несколько раз сохранить его, а между сеансами сохранения обязательно модифицировать. Временный файл располагается в той же папке, что и исходный, имеет такое же имя, но использует расширение, выделенное приложением для резервных файлов.

Поиск LOG-файлов

LOG-файлы, как правило, представляют собой текстовые документы, описывающие результаты какой-либо процедуры, например, процедуры установки приложения. В случае ошибки LOG-файл сообщает о ней и иногда предлагает возможные варианты ее исправления. Windows создает LOG-файлы при обновлении, указывая в них имена обновленных файлов и описывая свои действия. Говоря кратко, LOG-файлы — это полезные протоколы системной деятельности.

К сожалению, ни Windows, ни приложения никогда не удаляют LOG-файлы, и в этом не следует обвинять компанию-поставщика или программиста, создавшего приложение. Предполагается, что Вы ознакомитесь с содержимым LOG- файла и, следуя соглашению с компанией, удалите или заархивируете его. Иногда само приложение уведомляет Вас о LOG-файле и действиях, которые следует предпринять. В большинстве же случаев приложение даже не сообщает о генерации LOG-файла. Узнать о моменте его создания и определить его местоположение — полностью ваша задача.

Любопытный факт заключается в том, что иногда Вы можете натолкнуться на приложения, использующие LOG-файлы постоянно. В этих случаях удалять LOG- файлы, разумеется, не следует. Например, UPS-приложения, которые я использую, пользуются LOG-файлом для вывода сообщений о событиях, связанных с питанием, например, скачках напряжения. В LOG-файле также содержится информация о времени последнего запуска процедуры диагностики и других выполненных действиях. Тем не менее, если я удалю этот файл, с UPS-приложением не произойдет ничего страшного — оно просто «забудет» прошлые события.

LOG-файлы, которые Вы можете безболезненно удалить, находятся в папках приложений и в папке \Windows. Как правило, не следует удалять LOG-файлы из таких папок, как \Windows\System32 и др. Вы можете начать с удаления LOG-файлов из папки \Windows, предварительно прочитав или заархивировав их. После этого займитесь поиском остальных LOG-файлов системы. LOG-файлы, расположенные в папках приложений, следует прочитать, чтобы определить, используются ли они приложением. Если окажется, что нет, можете смело удалять их.

Как почистить все журналы windows с помощью скрипта

Как почистить все журналы windows с помощью скрипта

Как почистить все журналы windows с помощью скрипта

просмотр журнала событий

Иногда чтобы посмотреть появляется какая либо ошибка или событие, трудно бывает искать его среди кучи событий, можно конечно фильтровать, но проще все очистить. Чистить в ручную долго и муторно, предлагаю скрипт который почистит все журналы windows. Перед выполнением скрипта советую в просмотре событий сохранить логи windows для дальнейшего изучения, много раз было, что старые файлы оказываются, очень нужны, учитесь на чужих ошибках, а лучше их вообще не совершайте.

До очистки видим, что в логах windows много событий

Выполняем скрипт, выполнять нужно от имени администратора.

После, результат на лицо все логи windows удалены в оснастке просмотр событий, и вы только обнаружите событие о том кто и когда произвел удаление.

вот сам текст скрипта

@echo off
FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V
IF (%adminTest%)==(Access) goto noAdmin
for /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")
echo.
echo goto theEnd
:do_clear
echo clearing %1
wevtutil.exe cl %1
goto :eof
:noAdmin
exit

Скачать сам скрипт

Как видите логи windows очень быстро и легко удаляются скриптом, если нужно массово зачистить вешаем его в планировщике заданий. Так же советую ознакомится с методом Как очистить просмотр событий с помощью PowerShell

Материал сайта pyatilistnik.org

Иван Семин

Чистим логи Windows | Yauhen.ORG

В отличии от логов операционных систем семейства linux, в Windows логи представляют собой не банальный текстовый файл и записями о событиях,  а упакованные бинарные файлы. Если вы вдруг попробуете вмешаться в эти бинарные файлы и удалить что-либо из них, то возможно наткнетесь на отказ операционной системы… и как это не прискорбно вам видимо придется заниматься вместо очисткой логов полноценным восстановлением операционной системы.

Однако будучи полноценным системным администратором домена я хотел бы вам показать процедуру очистки логов не локально (локально я думаю вы и нагуглить сумеете), а удаленно на чужой машине, да и к тому же под чужой учетной записью 🙂 (в этом есть свой карыстный умысел, так как процедура очистки логов также отмечается в уже очищенных логах, а следовательно если вы проведете ее под своей учетной записью, то настоящий владелец удаленного компьютера сможет по этим же логам установить что логи очистили вы 🙂 ).

В Windows есть очень полезное местечко, используя которое вы можете с легкостью управлять чужим компьютером (конечно же если на удаленном компьютере вы имеете право на авторизацию, коим обладаю я как доменный администратор). Итак если данное право у вас есть, то открываем следующее окно:

Для того чтобы открыть это окно, кликаем правой кнопкой мыши по “Мой компьютер”, а затем оп “Управление”.

Далее еще раз кликаем правой кнопкой мыши по «Управление компьютером (локальным)» и выбираем «Подключиться к другому компьютеру…».

После этого перед вами откроется следующее окно подключения:

В выбранном поле указываем имя компьютера домена к которому хотим подключиться, затем жмякаем “ОК”

После этого окно «Управление компьютером» обновится, и в одноименном поле в дереве слева, в скобках вместо локального появится имя удаленного компьютера. Можно идти дальше.

Для того, чтобы выполнять некие процессы на чужом компьютере, а уж тем более выполнять их от чужого имени на потребуется «Планировщик заданий», как следствие открываем его в дереве слева. В правой колонке окна выбираем «Создать задачу». На процессе создания задачи остановимся подробнее…

В поле «Имя» вводим произвольное название для новой задачи. В параметрах безопасности указываем от чьего имени мы будем выполнять задачу и выставляем галочку «Выполнять с наивысшими правами».

Поскольку процедура очистки логов может выполняться только администратором компьютера, то галочка «Выполнить с наивысшими правами» очень важна для нас. Ну а для выполнения очистки логов от имени другого пользователя, выбираем этого пользователя нажав кнопку «Изменить».

В поле «В следующем месте» следует выбирать имя компьютера, если вы хотите выполнить задачу от имени локального пользователя удаленной машины, либо выбирать «Весь каталог» для выполнения от имени доменного пользователя.

Теперь в окне «Создание задачи» переходим на вкладку «Действия» и жмем «Создать».

В открывшимся окне нам предлагают указать путь к запускаемой программе. И вот она скажу я вам уязвимость. 🙂 Используя терминальные команды Windows, сохранив их в *.bat файл и указав его здесь, вы можете выполнять ЛЮБЫЕ действия на удаленном компьютере, в том числе и требуемое нам очищение логов. Так что теперь нам нужно лишь создать скрипт для очистки логов и указать к нему путь в предложенном окне. Для этого открываем блокнот и вписываем в него следующую строку:

wmic nteventlog where filename=”System” call ClearEventlog

В указанном мною примере выставлена очистка System логов системы, но вы можете указать нужные вам логи для очистки.

Теперь сохраняем документ в к примеру в виде clear_script.bat на компьютере «жертвы» и указываем локальный путь к этому файлу в открытом окне «Создание действия».

К слову если вы являетесь доменным администратором почта в вашей комании организована на базе Exchange, вы можете в данном окне в поле «Действия» выбрать «Отправить сообщение электронной почты» и отправить письмо кому-либо от имени пользователя выбранного ранее.

На этом создание задачи на удаленную очистку логов завершено, и можно «прокликав» «ОК» в окнах создания задачи переходить непосредственно к ее выполнению 😉 . Для этого просто выбираем созданную задачу в Планировщике заданий удаленного компьютера и в правой колонке окна жмем «Выполнить».

Все! Точнее если вы все сделали правильно, то логи удаленного компьютера буду успешно очищены от имени другого пользователя. А после этого в чистом файле логов будет заведена первая запись об очистке логов, со ссылкой на то что логи были удалены тем пользователем которого вы выбрали ранее. 🙂

Как очистить лог-файл?

Лог-файлы служат для записи определенных событий, связанных с выполнением компьютером обычных задач. Зачастую их приходится чистить по прошествии определенного времени в целях оптимизации работы на компьютере в текущей операционной системе.
Инструкция
  • В свойствах меню «Мой компьютер» выберите пункт, отвечающий за управление. В операционных системах Windows Seven и Windows Vista данный пункт указан в левой части панели меню «Мой компьютер». Также вы можете запустить данное меню из «Администрирования» в панели управления. У вас на экране должна появиться специальная консоль управления.
  • При выполнении работ с лог-файлами в обязательном порядке обратите внимание на ограничения учетной записи, поскольку все действия должны выполняться только администратором. Гостям и другим ограниченным учетным записям данное действие будет недоступно.
  • Найдите в меню управления компьютером пункты вызова просмотра событий и служебных программ. Внимательно просмотрите каждый из их разделов, после чего решите, которые вы хотите удалить.
  • В пункте просмотра событий очистите логи операционной системы Windows, выделив его левой кнопкой мыши. Раскройте пункт «Действие», после чего запустите его контекстное меню при помощи выделения правой кнопкой мыши.
  • В отображенном на вашем экране окне выберите пункт с названием «Стереть все события» и, если вы действительно хотите это сделать, подтвердите операцию в появившемся диалоговом окне. Дождитесь окончания удаления содержимого лог-файлов с вашего компьютера.
  • Используйте специальные программы оптимизации компьютера для очистки лог-файлов в более понятном и быстром порядке, обычно в них же можно настроить автоматическую очистку их содержимого. Обычно очистка логов относится ко второстепенным задачам таких программ, однако они бывают полезны для ускорения работы компьютера, удалении неиспользуемых служб и завершении ненужных процессов. Также они выполняют дефрагментацию дисков, исправление ошибок, очистку оперативной памяти и так далее.
  • Совет добавлен 22 октября 2011 Совет 2: Как включить лог Логами (происходит от англ. log-book) принято именовать записи журнала (протокола) событий, создаваемых различными приложениями в процессе функционирования. Лог представляет собой текстовый файл, в котором событие отображается одной строкой с указанием времени и некоторой дополнительной информации.
    Инструкция
  • Нажмите кнопку «Пуск» для вызова главного меню системы и введите значение cmd в поле строки поиска для инициации включения логов файрвола Windows (для Windows 7 и Windows Vista).
  • Вызовите контекстное меню найденного результата «Командная строка» кликом правой кнопки мыши и укажите команду «Запуск от имени администратора» (для Windows 7 и Windows Vista).
  • Введите значение netsh firewall set logging maxfilesize=10240 в текстовом поле инструмента «Командная строка» и нажмите функциональную клавишу Enter для подтверждения выполнения команды определения максимального размера файла логов (для Windows 7 и Windows Vista).
  • Используйте значение net firewall set logging connections=enable в текстовом поле командной строки для проведения процедуры включения логов соединений и нажмите клавишу Enter для подтверждения выполнения команды (для Windows 7 и Windows Vista).
  • Завершите работу инструмента командной строки и перезагрузите компьютер для применения выбранных изменений (для Windows 7 и Windows Vista).
  • Раскройте ссылку Information Store Site Configuration в разделе Exchange Server Administrator для выполнения операции включения логов в Exchange Server 5.5 и перейдите на вкладку «Общие» открывшегося диалогового окна программы.
  • Примените флажок на поле Enable message tracking и раскройте ссылку MTA Site Configuration двойным кликом мыши для проведения процедуры разрешения ведения логов файлов MTA.
  • Перейдите на вкладку «Общие» открывшегося диалогового окна приложения и примените флажок на поле Enable message tracking.
  • Раскройте ссылку Internet mail connector двойным кликом мыши и перейдите на закладку Internet mail в открывшемся диалоговом окне программы.
  • Примените флажок на поле Enable message tracking и нажмите кнопку OK для применения выбранных изменений.
  • Источники
    • Как включить логи Windows Firewall-а
    • Включение логов Microsoft Exchange Server
    Как включить лог - версия для печати Оцените статью!

    [Мануал] - Чистим server_log и mysql-логи одним кликом. | Pawno-Info.Ru

    Доброго времени суток, уважаемые пользователи портала.​

    На самом деле, ничего необычного в нижепредставленном нет, ибо это скорее некоторый лайф-хак, просто небольшой .bat-файл с кодом, который может сэкономить вам нервы (как он сохранил их мне, в некоторых случаях).
    В случае, если вы ведёте разработку и часто запускаете/пере-запускаете сервер, смотрите логи, исправляете какие-либо ошибки - там скапливается достаточно мусора с предыдущих сессий сервера, которые мешают вашей работе - это раздражает и, честно говоря, мне лень вручную чистить все нижеуказанные файлы (как минимум, это отнимает время, которое можно потратить на что-либо другое).

    Данный исполняемый файл очищает нижеуказанные файлы:

    • /project_folder/server_log.txt,
    • /project_folder/logs/errors.log,
    • /project_folder/logs/log-core.log,
    • /project_folder/logs/warnings.log,
    • /project_folder/logs/plugins/mysql.log
    * project_folder - папка вашего проекта.

    1. И так, Вам необходимо создать .txt-файл в корневой папке сервера, после чего вставить туда следующий код:

    PHP:

    break>"%CD%\server_log.txt" break>"%CD%\logs\errors.log" break>"%CD%\logs\log-core.log" break>"%CD%\logs\warnings.log" break>"%CD%\logs\plugins\mysql.log"
    2. Укажите название и сохраните данный .txt-файл с указанным кодом.
    3. Выберите данный файл, нажмите на него правой кнопкой мыши и выберите пункт "переименовать", после чего измените расширение файла с .txt на .bat.
    4. Profit. Запуская данный файл, все файлы с логами будут автоматически очищены.

     

    Blaster - утилита для очистки логов и истории, сохраняемых системой и установленными программами

    Когда вы работаете в Windows, вы даже и не подозреваете, что большой брат система следит за вами, записывая чуть ли не каждое движение: что вы запускали, какие папки и документы открывали, что вводили в строку поиска.

    С одной стороны это хорошо, так как позволяет системе анализировать запускаемые программы и сервисы и грамотно выделять ресурсы на их выполнение, а так же помогать вам быстро находить недавно использованные программы и документы, создавать списки популярных, часто используемых папок.

    С другой же стороны такая детальная запись всего, что открывается, ищется и набирается, может кому-то показаться излишней, и возникнет желание стереть эти данные. Но сделать это не так-то и просто: разработчики ведь не знали, что параноик внутри вас победит альтруиста. Вы можете найти средства для удаления списка последних открытых файлов, последних запросов строки поиска, наиболее часто используемых программ, однако это далеко не все, что было записано – в системе есть множество сервисов, запоминающих историю использования программ, а так же установлено множество программ, которые делают это самостоятельно. Как раз для таких случаев и существуют утилиты наподобие MRU-Blaster.

    MRU-Blaster просканирует все установленные программы, и найдет все записи, которые были сделаны вслед за активностью пользователя.

    После этого у вас появится возможность очистить эти записи, стерев все упоминания о вашей активности за компьютером. Будет уничтожена история посещения сайтов в браузерах, история поисковых запросов, списки популярных программ, последних открытых документов, причем не только те, которые сделала сама система, но и те, которые были сделаны сторонними программами (например, Microsoft Office ведет собственную историю открытых документов).

    Вы можете отметить те данные, которые хотите удалить или оставить (например, если хотите оставить историю посещенных сайтов).

    MRU-Blaster – бесплатная утилита, работает в 32/64-битных версиях Windows XP, Windows Vista, Windows 7 и Windows 8.

    Скачать MRU-Blaster

    java - Как очистить / удалить все журналы Weblogic, не выключая сервер?

    Переполнение стека
    1. Около
    2. Товары
    3. Для команд
    1. Переполнение стека Общественные вопросы и ответы
    .Основы ведения журнала

    Windows - Полное руководство по ведению журнала

    Журналы - это записи событий, которые происходят на вашем компьютере человеком или запущенным процессом. Они помогают отслеживать, что произошло, и устранять проблемы.

    Журнал событий Windows содержит журналы из операционной системы и приложений, таких как SQL Server или Internet Information Services (IIS). Журналы используют структурированный формат данных, что упрощает их поиск и анализ. Некоторые приложения также записывают файлы журналов в текстовом формате.Например, журналы доступа IIS.

    В этой статье исследуются интерфейс и функции программы Event Viewer , а также представлены журналы других основных приложений и служб. Примеры предоставлены, чтобы дать вам полное представление о том, как события мониторинга могут помочь вам управлять вашими системами для обеспечения работоспособности и безопасности.

    Журналы событий Windows

    Средство просмотра событий Windows отображает журналы событий Windows. Используйте это приложение для просмотра журналов и навигации по ним, поиска и фильтрации определенных типов журналов, экспорта журналов для анализа и многого другого.Мы покажем вам, как получить доступ к средству просмотра событий Windows, и продемонстрируем доступные функции.

    Запуск программы просмотра событий Windows

    Доступ к средству просмотра событий Windows Server 2019

    можно получить несколькими способами:

    • Панель управления Windows
    • Диспетчер сервера
    • Центр администрирования Windows
    • Управление компьютером
    • Обслуживание компонентов
    • Командная строка

    Панель управления Windows

    Панель управления

    - это стандартный компонент Windows для просмотра и изменения настроек системы.Его можно найти в версиях Windows Server и Windows для настольных ПК. Для доступа к средству просмотра событий:

    1. Открыть Панель управления
    2. Щелкните Администрирование
    3. Дважды щелкните Средство просмотра событий

    Диспетчер сервера

    Консоль Server Manager позволяет управлять настройками на локальном сервере и на удаленных серверах. Для доступа к средству просмотра событий из диспетчера сервера:

    1. Открыть Диспетчер сервера
    2. Открыть Инструменты > Средство просмотра событий

    Центр администрирования Windows

    Windows Admin Center - это приложение на основе браузера для управления серверами, кластерами, настольными ПК и другими компонентами инфраструктуры.Для доступа к средству просмотра событий из центра администрирования Windows:

    1. Откройте Windows Admin Center в поддерживаемом браузере.
    1. Нажмите События

    Управление компьютером

    Консоль управления компьютером обеспечивает доступ к административным задачам на локальном или удаленном сервере. Чтобы открыть средство просмотра событий из управления компьютером:

    1. Открыть Управление компьютером
    2. Нажмите Средство просмотра событий

    Служба компонентов Windows

    Еще одно встроенное приложение - это диспетчер служб компонентов Windows, который позволяет нам настраивать приложения DCOM, работающие в Windows.Средство просмотра событий Windows также доступно из диспетчера служб компонентов:

    1. Открыть Службы компонентов
    2. Нажмите Средство просмотра событий

    Командная строка

    Наконец, вы можете открыть средство просмотра событий прямо из командной строки. Для этого:

    1. Откройте командную строку
    2. Тип: eventvwr

    Использование интерфейса средства просмотра событий Windows

    Event Viewer имеет интуитивно понятный пользовательский интерфейс.Главный экран разделен на три части:

    • Панель навигации
    • Панель деталей
    • Панель действий

    Вы можете создавать сводные и настраиваемые представления. Мы поможем вам выбрать эти варианты.

    Панель навигации

    Панель навигации - это место, где вы выбираете журнал событий для просмотра. По умолчанию существует пять категорий журналов Windows:

    • Приложение - информация, регистрируемая приложениями, размещенными на локальном компьютере.
    • Безопасность - Информация, связанная с попытками входа в систему (успешными и неудачными), повышенными привилегиями и другими контролируемыми событиями.
    • Setup - Сообщения, генерируемые при установке и обновлении операционной системы Windows. Если система Windows является контроллером домена, эти сообщения также регистрируются здесь.
    • Система
    • - сообщения, созданные операционной системой Windows.
    • Forwarded Events - События, пересылаемые другими компьютерами, когда локальная машина функционирует как центральный подписчик.

    Также есть раздел для журналов приложений и служб, включая категории для событий оборудования, событий Internet Explorer и Windows PowerShell.

    Панель навигации средства просмотра событий:

    Панель деталей

    Когда открыто средство просмотра событий, на панели сведений отображаются обзор и сводка. Мы обсудим сводные обзоры позже. Выберите элемент на панели навигации, чтобы просмотреть список событий.

    Записи о событиях по умолчанию перечислены в хронологическом порядке, а самые последние события вверху. Щелкните заголовок любого столбца, чтобы отсортировать события по этому полю в порядке возрастания или убывания. Если щелкнуть второй раз в заголовке того же столбца, порядок сортировки меняется на противоположный.Символ или обратная вставка указывает поле сортировки и направление сортировки.

    Каждое событие имеет серьезность Уровень :

    Панель сведений средства просмотра событий, отображающая ошибки и предупреждения:

    Щелкните событие, чтобы просмотреть подробную информацию. В этом примере мы можем увидеть источник выделенного события (TerminalServices-Printers), а также дату и время, когда оно произошло. На вкладке Общие отображается дополнительная информация: необходимо установить драйвер принтера.

    Панель сведений средства просмотра событий Вкладка Общие:

    Откройте вкладку Details для просмотра необработанных данных о событиях. Вы можете переключаться между Friendly View и XML View .

    Вы можете щелкнуть событие правой кнопкой мыши и выбрать Копировать > Копировать детали как текст , а затем вставить результаты в текстовый редактор. Перечисляются системные поля, за которыми следует все событие в формате XML.

    Для этой критической ошибки мы видим, что система неожиданно отключилась.

    Панель действий

    Панель «Действия» обеспечивает быстрый доступ к действиям, доступным для текущего выбора. Панель действий разделена на две части:

    • Действия, доступные для выбранного журнала области навигации
    • Действия, доступные для выбранного события панели сведений

    В этом примере мы выбрали журнал приложения и событие 9027, Диспетчер окон рабочего стола :

    Как видите, существует ряд возможных действий, когда активен конкретный журнал событий.Например, щелкните Фильтр текущего журнала для поиска определенного события или группы событий. Всплывающее окно позволяет указать критерии запроса. Когда вы нажимаете ОК , отфильтрованные результаты отображаются на панели сведений.

    Вырубка больших бревен

    Вы можете выполнить некоторую уборку выбранного журнала с помощью действия Очистить журнал , если он станет слишком большим. Это удаляет все события, хранящиеся в журнале. Чтобы проверить размер файлов журнала, выберите Журналы Windows или Журналы приложений и служб на панели навигации. Число событий и Размер отображаются на панели сведений.

    Экспорт событий

    Вы можете нажать Сохранить все события как или Сохранить все события в пользовательском представлении как (выбранные события) или Сохранить все события как (все события), чтобы экспортировать события из текущего журнала в файл событий. Файл событий имеет расширение EVTX.

    Где бы вы использовали такую ​​функциональность? Предположим, вы хотите отправить состояние работоспособности вашей системы стороннему поставщику - вы можете предоставить им экспортированный файл событий.Или вы можете заархивировать свои журналы перед их удалением или отправить сохраненные журналы на централизованный резервный носитель. Пригодится сохранение журналов событий в файл событий. Администраторы щелкают Открыть сохраненный журнал и переходят к местоположению журнала, чтобы открыть сохраненный журнал.

    Пользовательские просмотры

    Event Viewer позволяет легко создавать настраиваемые представления. Это обеспечивает быстрый доступ, если вас интересуют определенные типы событий или событий в зависимости от уровня серьезности.

    Создать собственный вид:

    1. Выберите Custom Views на панели навигации.
    2. Щелкните Create Custom View на панели действий.
    3. Введите критерии для событий, которые будут включены в настраиваемый вид. В этом примере показано создание настраиваемого представления для сбора критических событий и событий ошибок для служб среды выполнения .NET, работающих на локальном компьютере.
    4. Нажмите ОК
    5. Введите Имя и Описание и выберите место для пользовательского просмотра.
    6. Нажмите ОК

    Ваш пользовательский вид теперь доступен.

    Подобно сохранению журналов в файле событий, вы можете экспортировать пользовательские представления.

    1. Выберите пользовательский вид на панели навигации.
    2. Щелкните Экспорт настраиваемого вида на панели «Действия».
    3. Введите имя XML-файла, который нужно создать для пользовательского представления.

    XML-файл можно импортировать в программу просмотра событий в другой системе, щелкнув Импортировать пользовательское представление и перейдя к местоположению файла.

    Сводные просмотры

    Средство просмотра событий (локальное) - это верхний узел на панели навигации.Если этот параметр выбран, Обзор и Сводка отображаются на панели сведений.

    • Сводка событий администрирования отображает итоги для всех типов событий в течение недели.
    • Недавно просмотренные узлы отображает историю просмотренных узлов в хронологическом порядке. Дважды щелкните узел, чтобы открыть местоположение.
    • Сводка журнала отображает основные свойства каждого файла журнала. Дважды щелкните, чтобы открыть события для журнала.

    В этом примере за последний час было обнаружено шесть ошибок, а количество ошибок за последнюю неделю составило 18.Щелкните + , чтобы развернуть список Ошибка :

    Дважды щелкните ошибку, чтобы открыть ее в области сведений.

    Журналы других приложений

    В Windows есть и другие журналы с собственными механизмами просмотра событий:

    • Менеджер DNS
    • Менеджер отказоустойчивого кластера
    • Доступ к IIS
    • История планировщика заданий
    • Служба компонентов Windows

    DNS-менеджер

    Если Windows Server настроен как сервер службы доменных имен (DNS), устанавливается DNS Manager .В небольших сетях это обычно сервер домена Active Directory.

    DNS Manager имеет собственный список событий:

    Менеджер отказоустойчивого кластера

    Служба отказоустойчивой кластеризации Windows Server позволяет двум или более серверам Windows работать в качестве кластера - отказоустойчивой конфигурации, в которой отказ физического оборудования одного сервера автоматически обнаруживается и заменяется другим сервером. Служба отказоустойчивой кластеризации Windows Server автоматически перенаправляет весь сетевой трафик на работоспособный экземпляр, создавая среду с высокой доступностью.В кластере приложения подключаются к общей точке доступа - виртуальному IP-адресу или имени кластера - и Windows направляет весь трафик на правильный узел. Когда происходит сбой, приложения продолжают работать в обычном режиме. Отказоустойчивая кластеризация Windows Server используется в качестве основы современных решений высокой доступности для SQL Server, таких как AlwaysOn Availability Groups .

    Диспетчер отказоустойчивого кластера - это встроенное приложение Windows со своим собственным средством просмотра событий. С помощью этого средства просмотра событий системные администраторы могут устранять неполадки, когда их кластер выходит из строя или перестает функционировать должным образом.На следующем снимке экрана показан узел средства просмотра событий диспетчера кластеров на панели навигации. При выборе этого узла будут отображаться события, связанные с кластером.

    Журналы доступа IIS

    Журналы доступа Internet Information Services включают информацию о запрошенных URI и статусе, показывающем, был ли успешно доставлен ответ. Он записывает эти журналы в виде файлов в расширенном формате журнала W3C. Этот формат представляет собой тип значения, разделенного запятыми (CSV). Расположение файла журнала указывается в параметрах ведения журнала диспетчера IIS.По умолчанию это расположение:

    % SystemDrive% \ inetpub \ журналы \ LogFiles 

    Например, вот файл журнала на C: , с W3SVC1 в качестве виртуального хоста и u_ex150428 в качестве имени файла с датой 2015-04-28:

     C: \ inetpub \ logs \ LogFiles \ W3SVC1u_ex150428.log 

    Вот выдержка из файла журнала. Определение столбца находится в комментарии. Запрос на / manager / html вернул код статуса 404 , поскольку страница не существует.

     # Программное обеспечение: Microsoft Internet Information Services 7.5 # Версия: 1.0 # Дата: 2015-04-28 12:12:05 # Поля: дата время s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip 2015-04-28 02:51:38 10.211.14.109 GET / manager / html - 80 - 222.186.56.21 Mozilla / 5.0 + (совместимый; + MSIE + 10.0; + Windows + NT + 6.2; + WOW64; + Trident / 6.0) ) - 404 0 64 4850 

    Журналы истории планировщика заданий

    Планировщик задач запускает фоновые задачи и приложения по расписанию, как и подсистема cron в Linux.Примером является сценарий ночного резервного копирования, который выполняет резервное копирование локальных баз данных SQL Server.

    Каждая задача имеет связанные события истории, которые вы можете просмотреть на панели сведений планировщика задач:

    Вкратце

    Windows и связанные приложения записывают различные события в несколько журналов. Улавливание и понимание этих событий - ключевая часть роли системного администратора. В этом руководстве рассказывается, как можно использовать различные методы для сбора, централизации и защиты этих журналов.

    Какие инструменты вы используете для отслеживания событий и состояния системы? Добавьте комментарий, чтобы сообщить нам!

    .

    Как очистить компьютер

    Вот руководство по очистке системы и жесткого диска компьютера. Кстати, если у вас Mac, перейдите отсюда к статье о том, как очистить Mac. Mac и ПК с Windows сильно отличаются, поэтому обязательно прочтите руководство, которое поможет вам решить вашу проблему.

    Когда ваш компьютер нуждается в очистке?

    Это довольно легко сказать. Есть несколько веских признаков того, что вам следует очистить компьютер:

    1. Недостаточно места на диске.
    2. Запуск требует времени.
    3. Приложения и браузеры загружаются медленно.
    4. Рабочий стол заполнен файлами и папками.
    5. Вы не можете найти нужные файлы в беспорядке.
    6. Программы неожиданно завершают работу и работают некорректно.

    Как почистить компьютер

    Давайте рассмотрим основные проблемы и посмотрим, как их можно решить. Как правило, очистка ПК сводится к двум основным задачам: очистка жесткого диска и очистка системы.

    Очистка жесткого диска - это работа со своими файлами, их сортировка, поиск и удаление тех, которые вам больше не нужны. Очистка системы - более сложная часть, когда вам нужно копаться в папках Windows и удалять системный мусор, который загромождает вашу систему. Также есть дополнительная часть очистки браузера и удаления старых программ (или приложений).

    Начнем с самой простой части, которая к тому же намного быстрее, - с очистки системы.

    Как почистить компьютерную систему: легкий способ

    Если вам не хочется тратить время на копание в своей системе или вы не уверены в том, что нужно возиться с файлами Windows в целом, есть более простой способ.Вы можете получить CleanMyPC, который сделает всю работу за вас, избавив вас от необходимости ручной очистки.

    CleanMyPC - быстрое и мощное приложение для очистки системы. Он также будет следить за вашим компьютером, чтобы убедиться, что все работает нормально. Это хороший выбор, если вы хотите быстро исправить ситуацию.

    Если у вас есть время и вдохновение для ручной очистки системы, читайте дальше.

    Как почистить компьютерную систему: ручной способ

    Первое, что вам нужно удалить, это временные файлы или просто временные файлы.Они создаются вашими действиями и приложениями, которые вы используете, и должны удаляться автоматически (отсюда и название), но по многим причинам некоторые из них этого не делают.

    Удаление временных файлов в Windows 7
    1. Для начала закройте все приложения
    2. Нажмите Старт
    3. Введите Disk Cleanup в строку поиска и нажмите Enter
    4. В появившемся списке найдите Очистка диска и дважды щелкните его
    5. Выберите T emporary Internet Files , Temporary files (Temp) , Thumbnails , Downloaded Program Files , Offline webpages .
    6. Удалите их.

    Есть еще скрытые папки, которые нужно очистить.

    1. Нажмите Пуск, выберите Панель управления> Оформление и персонализация.
    2. Выберите «Параметры папки», затем перейдите на вкладку «Просмотр».
    3. В разделе «Дополнительные настройки» выберите «Показать скрытые файлы, папки и диски» и нажмите «ОК».
    4. Откройте \ Users \ $ USER $ \ AppData \ Local \ Microsoft \ Windows \ Temporary Internet Files. Где $ USER $ - ваше имя пользователя.
    5. Очистите папку, выделив все содержимое и удалив его.
    Удаление временных файлов в Windows 10
    1. Перейти в меню «Пуск»
    2. Найти настройки
    3. Выбрать систему
    4. Выбрать хранилище
    5. Найдите локальное хранилище под названием This PC
    6. Искать временные файлы
    7. Найдите опцию «Удалить временные файлы».
    Избавление от кешей и логов

    В каждой версии Windows существует около 7 различных типов кэша.Поверьте, вам не захочется проходить каждую из них. Если у вас есть свободный час или два, есть много руководств, так что вы можете обратиться к ним. Но самый простой способ справиться с кешами - это загрузить CleanMyPC бесплатно и позволить ему удалить все кеши за один раз.

    Как очистить жесткий диск компьютера

    Сначала ответьте на вопрос «Нужно ли мне чистить компьютер?». Это довольно просто, откройте «Мой компьютер» (вы можете использовать следующую комбинацию клавиш с любой другой совместимой клавиатурой, которая включает в себя клавишу с логотипом Windows ÿ + E) и посмотрите на полоски на локальном диске (-ах).Если свободного места мало, полоса становится красной. Если он зеленый / синий - все в порядке. Другая причина, по которой вы можете захотеть выполнить очистку жесткого диска, - это организовать все ваши файлы.

    Сортировка для поиска самых больших папок

    Итак, как вы относитесь ко всем вещам, которые у вас есть на дисках? Это не так сложно, если вы сначала выполните сортировку.

    1. Откройте наиболее часто используемый локальный диск в Мой компьютер
    2. Щелкните правой кнопкой мыши в любом месте окна (только не на элементах)
    3. Сортировать по - Размер

    Теперь вы видите все, отсортированное от самого большого до самого маленького, так что легко определить чемпионов в тяжелом весе, от которых вам, вероятно, следует избавиться.Внутри тяжелых папок вы также можете отсортировать файлы по размеру (если только они не похожи друг на друга, например фотографии), чтобы определить, что отягощает папку.

    Поиск дубликатов

    Есть большая вероятность, что вы скопировали папку и забыли удалить оригинал. Или скачала что-то, не нашла и скачала заново. Бывает с лучшими из нас.

    Чтобы найти эти дубликаты, вам может потребоваться приложение, которое решает именно эту проблему. Попробуйте бесплатную версию dupeGuru.Интерфейс немного унылый, но он выполняет свою работу: находит повторяющиеся файлы и помогает их удалить.

    Очистка рабочего стола

    Знаете ли вы, что количество значков на рабочем столе напрямую влияет на время его загрузки? Дайте своему компьютеру отдохнуть и упакуйте все, кроме самого основного, в одну папку. Отображение только одного значка вместо 50 будет иметь значение.

    Удаление ненужных программ

    С приложениями дело обстоит так: чем их больше, тем хуже становится ваш компьютер, даже если вы ими не пользуетесь.Они упаковывают память, попадают в автозапуск, оставляя после себя случайные фрагменты. Вот как удалить ненужные приложения:

    1. Открыть меню Пуск
    2. Найдите и щелкните Панель управления
    3. Открыть Удалить программу
    4. Просмотреть список
    5. Найдите программы, которые вам больше не нужны
    6. Выберите их и нажмите Удалить

    Будьте осторожны: НЕ удаляйте все, что содержит Windows в названии.Кроме того, убедитесь, что вы ЗНАЕТЕ, что удаляете, чтобы случайно не удалить системные драйверы.

    Кроме того, некоторые приложения оставляют после себя фрагменты информации и записи реестра даже после удаления, поэтому для этой процедуры безопаснее использовать CleanMyPC. Это своего рода альтернатива CleanMyMac для ПК. Просто загрузите его, установите и найдите в левом меню функцию полного удаления.

    CleanMyPC быстро удаляет выбранные вами приложения, выполняет поиск в системе в поисках остатков и очищает реестр.

    Заключительный этап очистки ПК: выбросить мусор

    Вам это понадобится, только если вы удалили файлы с помощью простого Delete , а не CTRL + ⇧Shift + Delete. Последний удаляет предметы полностью, минуя корзину.

    Чтобы очистить корзину от всего, что вы туда только что добавили, просто щелкните значок и выберите Очистить корзину .

    Если вы не видите значок корзины на рабочем столе (в Windows 10), выполните следующие действия:

    Шаг 1. Откройте «Настройки» в меню «Пуск»
    Шаг 2: Выберите Syst

    .

    Как скрыть следы и не оставить следов в целевой системе «Null Byte :: WonderHowTo

    С возвращением, мои подающие надежды хакеры!

    До этого руководства мы в основном сосредоточились на взломе целевой системы. Если нам удастся стать владельцем целевой системы, тогда мы захотим убедиться, что системный администратор не знает, что мы были там, и что он или она не может нас отслеживать.

    В этом руководстве я покажу вам несколько способов, с помощью которых мы можем замести следы, чтобы системному администратору, судебному следователю или сотруднику правоохранительных органов было ОЧЕНЬ сложно отслеживать наши злонамеренные действия.

    Файлы журнала - это наиболее распространенный метод для системного администратора, позволяющий определить, что произошло в его системе. Каждый неудачный вход, успешный вход и событие безопасности регистрируются в файлах журнала. Итак, первое, что нам нужно сделать, это убедиться, что в этих файлах журналов нет следов наших вредоносных действий.

    Шаг 1. Очистка журналов событий с помощью Meterpreter

    В более новых версиях meterpreter Metasploit есть сценарий под названием clearev для очистки всех журналов событий.Эта программа войдет в журналы событий в системе Windows и очистит ВСЕ журналы. Для бдительного системного администратора это может показаться немного подозрительным, но большинство системных администраторов НЕ бдительны.

    По крайней мере, это удалит наше соединение и / или попытку соединения из файлов журнала. Конечно, могут остаться и другие доказательства, такие как журналы маршрутизатора и журналы IDS, но мы разберемся с ними в будущем руководстве.

    Сначала используйте Metasploit, чтобы взломать систему и получить командную строку meterpreter.

    Как только мы получим meterpreter в системе, мы можем просто ввести:

    Как видно на этом скриншоте выше, все журналы событий приложений, системы и безопасности были удалены из файлов журнала в системе-жертве. .

    Шаг 2. Очистка журналов событий на компьютерах Windows

    Другой способ очистить файлы журналов в системах Windows - использовать файл clearlogs.exe . Вы можете скачать его здесь.

    Если у нас есть физический доступ к системе, мы можем просто установить ее, а затем запустить очистку журналов.Мы можем очистить журналы безопасности, приложений или безопасности. Чтобы очистить журналы безопасности, введите:

    Затем мы можем перейти в средство просмотра событий и щелкнуть по событиям безопасности, где мы увидим, что все события безопасности были очищены! Нет никаких следов, что мы там были!

    Если у нас есть удаленный доступ к системе, мы можем просто загрузить его в систему с помощью TFTP, а затем запустить в системе.

    Не забудьте удалить clearlogs.exe перед выходом из системы, поскольку простое присутствие файла clearlogs будет явным доказательством того, что кто-то взломал их систему.

    Шаг 3. Очистка журналов событий на компьютерах Linux

    В системах Linux файлы журналов хранятся в каталоге / var / log . Мы можем открыть и просмотреть этот простой текстовый файл, содержащий сообщения журнала, открыв его в любом текстовом редакторе (я использую KWrite в BackTrack).

    Перед тем, как покинуть скомпрометированную систему, мы захотим открыть этот файл в нашем любимом текстовом редакторе и просто удалить ВСЕ записи или, если у нас есть время, внимательно просмотреть и удалить все записи, относящиеся конкретно к нашей компрометации системы. система.

    Шаг 4. Стирание истории команд

    Наконец, прежде чем мы покинем скомпрометированную систему Linux, мы хотим убедиться, что наша история команд стерта. Помните, оболочка bash, которую мы набираем, сохранит наши последние 500 команд. Системный администратор может отслеживать все наши команды, обнаруживать и расшифровывать наши действия в системе и потенциально использовать их в качестве доказательства.

    Чтобы увидеть нашу историю, мы можем использовать команду more :

    Размер нашего файла истории определяется переменной окружения HISTSIZE .Мы можем проверить размер переменной HISTSIZE, набрав:

    Затем мы могли бы установить его в ноль, набрав:

    Теперь наша оболочка не будет хранить никакой нашей истории! Если вы помните, измените его на ноль перед началом взлома, и ни одна из ваших команд не будет сохранена, но если вы уже написали некоторые команды, не забудьте выйти и снова войти в систему, чтобы очистить свою историю после установки HISTSIZE на ноль.

    Шаг 5: Уничтожение файла истории

    Иногда нам не хватает времени, чтобы стереть файл истории или изменить переменную HISTSIZE.В спешке мы можем просто уничтожить наш файл истории, набрав:

    • shred -zu root / .bash_history

    Команда shred с переключателями -zu перезапишет историю нулями и удалит файл.

    Чтобы проверить, была ли наша история уничтожена, мы можем просмотреть файл истории, набрав:

    Следите за обновлениями ...

    Мы рассмотрим дополнительные меры по борьбе с криминалистикой, которые мы можем предпринять, чтобы скрыть наши следы в будущих уроках по Null Byte, так что продолжайте возвращаться! Если у вас есть какие-либо вопросы по этому руководству, задавайте их в комментариях ниже.А если у вас есть какие-либо вопросы по несвязанным темам взлома, не стесняйтесь размещать их на форуме Null Byte.

    Хотите начать зарабатывать деньги как хакер в белой шляпе? Начните свою профессиональную карьеру хакера с помощью нашего комплекта обучения премиум-сертификату по этическому хакерству 2020 года из нового магазина Null Byte и получите более 60 часов обучения от профессионалов в области этического хакерства.

    Купить сейчас (скидка 90%)>

    Горящие улики и разорванные изображения улик через Shutterstock .

    Смотрите также