⼀、⽂件存储位置 
系统⽇志 C:\Windows\System32\Winevt\Logs\System.evtx 
安全⽇志 C:\Windows\System32\Winevt\Logs\Security.evtx 
应⽤⽇志 C:\Windows\System32\Winevt\Logs\Application.evtx 

⼆、全部清除 
1、打开事件查看器删除 
通过win+r输⼊eventvwr打开事件查看器，在右边的操作⼀栏中，选择Clear Log… 
2、powershell命令删除 

PowerShell -Command "& {Clear-Eventlog -Log Application,System,Security}". PowerShell -Command "& {Get-WinEvent -ListLog Application,System,Security -Force | % {Wevtutil.exe cl $_.Logname}}" 

3、cmd命令删除 

wevtutil clear-log Application wevtutil clear-log Security wevtutil clear-log System 

for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"（cmd下删除全部）

三、定向清除 
1、停⽌⽇志服务 
⾸先利⽤powershell命令找出⽇志记录服务（eventlog）对应的进程PID，Get-WmiObject或Get-CimInstance命令都可以： Get-WmiObject -Class win32_service -Filter “name = ‘eventlog'” 
或者Get-CimInstance -ClassName win32_service -Filter “name = ‘eventlog'” procexp.exe（Process Explorer）找出PID=840的进程： 选择该scvhost.exe，点选右键->属性->线程,找出服务为eventlog的线程PID,为876、884、1424、1428、1432，依次选择Kill这些线程。 需要恢复⽇志记录服务时，在进程列表界⾯选择该scvhost.exe，点选右键->重新启动，然后运⾏命令net start eventlog。 

2、删除⽇志 

四、应⽤⽇志 删改WIndows安装的应⽤程序的⽇志相对简单些，因为定位其路径后就可以⼿动进⾏删改，思路都是相同的，都是先找到应⽤程序的⽇志路径，停⽌其相应服 务，然后对⽇志内容进⾏删改。 这⾥以最常见的WEB应⽤为例，⽇志类型及其默认路径和服务如下：（注意不同版本的应⽤⽇志默认存放路径可能不同） 
⽇志类型 默认路径 相应服务 IIS C:\inetpub\logs\LogFiles\W3SVC1\ World Wide Publishing Service Apache C:\Apache 2.4\logs Apache2.4 Tomcat C:\Tomcat 8.5\logs Apache Tomcat 8.5 Tomcat8 停⽌服务的命令⼀般⽤net stop即可，如net stop “World Wide Publishing Service”，删除命令⽤Shift + Delete或cmd命令del

打赏

微信扫一扫，打赏作者吧～

本文固定链接: https://www.cxy163.net/archives/2046 | 绝缘体