Як вимкнути журнал подій Windows 11 та Windows 10

У процесі роботи Windows постійно веде запис різних системних подій у файлах журналів, які можна переглянути за допомогою утиліти «Перегляд подій». Хоча самі журнали не займають багато місця на диску, загальна кількість операцій запису протягом тривалого часу може впливати на ресурс дисків, особливо SSD. За бажанням, запис подій у журнал можна відключити.

Способи вимкнення журналу подій Windows

  • Вимкнення служби
  • Вимкнення запису окремих подій чи журналів
  • Очищення журналу подій

Відключення служби журналу подій Windows

Найбільш очевидний спосіб відключити журнал подій — це вимкнення відповідної служби. Однак цей спосіб має свої недоліки:

  • Від зазначеної служби залежать й інші служби, що може викликати проблеми з роботою планувальника задач, службами мереж і автоматичного налаштування мережевих пристроїв.
  • Повне відключення журналу подій може ускладнити діагностику проблем з роботою системи, оскільки відомості про збої можуть бути корисні.

Список залежностей служби може змінюватись в залежності від версії Windows. Щоб відключити службу, використовуйте такі кроки:

  1. Натисніть клавіші Win+R на клавіатурі, введіть services.msc та натисніть Enter.
  2. У списку служб знайдіть «Журнал подій Windows» і двічі натисніть на цю службу.

    3. Служба Журнал подій у Windows

  3. Натисніть кнопку «Зупинити», змініть тип запуску на «Вимкнути» та натисніть «Ок».

    4. Відключення служби журнал подій у Windows

Вимкнення конкретних подій

Ще один спосіб — це запустити командний рядок від імені адміністратора і використовувати наступні команди:

net stop eventlog sc config eventlog start= disabled

Це повністю відключить ведення журналу подій. Якщо виникнуть проблеми з іншими системними службами, можливо, вони стали наслідком цих дій.

Вимкнення запису подій “Успіх”

Щоб вимкнути запис подій “Успіх”, використовуйте одну з наступних команд (перша — для української версії Windows, друга — для англомовної):

auditpol / set / subcategory: "Підключення платформи фільтрації" / success: disable auditpol /set /subcategory:"Filtering Platform Connection" /success:disable /failure:enable

Вимкнення подій за їх GUID

Для відключення запису певних подій за їх GUID виконайте наступні дії:

  1. У перегляді подій (Win+R — eventvwr.msc) знайдіть подію, запис якої потрібно вимкнути, на вкладці «Подробиці» увімкніть режим XML, щоб отримати значення параметра GUID.

    2. Подивитися GUID події у Windows

  2. У редакторі реєстру (Win+R — regedit) перейдіть до розділу HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlWMIAutologgerEventLog-System.
  3. Виберіть підрозділ з ім’ям, що збігається з GUID, двічі натисніть на параметр з ім’ям Enabled і встановіть значення 0.

    4. Вимкнути запис подій із зазначеним GUID

Закрийте редактор реєстру та перезавантажте комп’ютер.

Вимкнення журналу додатків

Для журналів додатків, наприклад, журналу WFP, ви можете:

  1. У Перегляді подій відкрийте «Журнали додатків» та перейдіть до потрібного журналу, наприклад: Microsoft — Windows — WFP — Operational.
  2. Натисніть правою кнопкою миші на журналі та виберіть «Вимкнути журнал».

    3. Відключення журналу WFP у Перегляді подій

Очищення журналу подій

Журнали подій знаходяться в папках:

  • C:WindowsSystem32winevtLogs
  • C:WindowsSystem32LogFiles
  • C:ProgramDataMicrosoftWindowswfp

Очищення вручну шляхом видалення файлів є незручним, тому краще використовувати:

  • Опцію “Очистити журнал” у контекстному меню журналу в «Перегляді подій».

    • Очистити журнал у перегляді подій

  • Команди для очищення журналів:
    • for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1" Get-EventLog-LogName* | ForEach { Clear-EventLog $_.Log }

Якщо залишаються питання щодо журналів подій у Windows, запитуйте у коментарях — можливо, я чи хтось із читачів зможе підказати.

Читайте також: