Стираем логи в MS Windows плюс скрипт

  • Posted on: 10 January 2019
  • By: Anatoly
Системные логи

Утилита wevtutil.exe, начиная с Windows 7 является стандартным компонентом системы и предназначена для получение списка имен журналов, управлением их конфигурацией, получения списка источников событий, установки или удаления издателей и журналов событий из манифеста, получения сведений о состоянии журнала, а также для очистки, архивирования и экспорта журналов системы.

Вы можете указывать имена команд и параметров как в краткой (например, "ep /uni"), так и в полной (например, "enum-publishers /unicode") форме. Команды, параметры и их значения вводятся без учета регистра. Для обозначения переменных используются прописные буквы.

Формат командной строки:

wevtutil КОМАНДА [АРГУМЕНТ [АРГУМЕНТ]...] [/ПАРАМЕТР:ЗНАЧЕНИЕ [/ПАРАМЕТР:ЗНАЧЕНИЕ]...]

Команды:

el | enum-logs Получение списка имен журналов
gl | get-log Получение сведений о конфигурации журнала
sl | set-log Изменение конфигурации журнала
ep | enum-publishers Получение списка издателей событий
gp | get-publisher Получение сведений о конфигурации издателя
im | install-manifest Установка издателей и журналов событий из манифеста
um | uninstall-manifest Удаление издателей и журналов событий из манифеста
qe | query-events Запрос событий из журнала или файла журнала
gli | get-log-info Получение сведений о состоянии журнала
epl | export-log Экспорт журнала
al | archive-log Архивирование экспортированного журнала
cl | clear-log Очистка журнала

Общие параметры:

/{r | remote}:ЗНАЧЕНИЕ - Если этот параметр задан, команда выполняется на удаленном компьютере. В качестве значения необходимо ввести имя или IP-адрес удаленного компьютера. Параметры /im и /um не поддерживают удаленные операции.
/{u | username}:ЗНАЧЕНИЕ - Выбор другого имени пользователя для входа на удаленный компьютер. В качестве значения необходимо ввести имя пользователя с указанием домена ("домен\пользователь") или без него. Используется, только если задан параметр /r.
/{p | password}:ЗНАЧЕНИЕ - Пароль для указанного пользователя. Если значение не указано или введен знак "*", пользователю будет предложено ввести пароль. Используется, только если задан параметр /u.
/{a | authentication}:[Default|Negotiate|Kerberos|NTLM] - Тип проверки подлинности для подключения к удаленному компьютеру. По умолчанию используется значение "Negotiate".
/{uni | unicode}:[true|false] - Отображение выходных данных в Юникоде. Если выбрано значение "true", выходные данные выводятся в Юникоде.

Для получения дополнительных сведений о конкретной команде введите следующий текст:

wevtutil КОМАНДА /?

Собственно скрипт для удаления логов

@echo off
FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V
IF (%adminTest%)==(Access) goto noAdmin
for /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")
echo.
echo goto theEnd
:do_clear
echo clearing %1
wevtutil.exe cl %1
goto :eof
:noAdmin
exit