В Windows 10 отключить ведение журнала
Обновлено: 21.11.2024
Если вы хотите включить или отключить защищенное ведение журнала событий в Windows 11 и Windows 10, это пошаговое руководство поможет вам выполнить этот процесс. Однако вы должны включить сертификат шифрования, если хотите включить защищенное ведение журнала событий в Windows 11/10.
К вашему сведению, вы можете включить или отключить этот параметр с помощью редактора локальной групповой политики и редактора реестра. Если вы хотите использовать метод REGEDIT, не забудьте сначала сделать резервную копию файлов реестра.
Включить или отключить защищенное ведение журнала событий с помощью групповой политики
- Нажмите Win+R, чтобы открыть окно «Выполнить».
- Введите mscand нажмите кнопку Enter.
- Перейдите к журналу событий в конфигурации компьютера.
- Дважды нажмите кнопку «Включить защищенное ведение журнала событий».
- Выберите вариант «Включено».
- Введите сертификат шифрования.
- Нажмите кнопку "ОК".
Чтобы узнать больше об этих шагах, читайте дальше.
Для начала вам нужно сначала открыть редактор локальной групповой политики. Для этого нажмите Win+R, чтобы открыть окно «Выполнить», введите gpedit.msc и нажмите кнопку «Ввод».
После того как он откроется на вашем экране, перейдите по следующему пути:
Здесь справа находится параметр «Включить защищенное ведение журнала событий». Вам нужно дважды щелкнуть этот параметр и выбрать параметр «Включено».
Затем введите ключ шифрования в соответствующее поле и нажмите кнопку ОК.
После этого данные вашего журнала будут зашифрованы. Если вы хотите отключить или выключить защищенное ведение журнала событий в Windows 11/10, вам нужно открыть тот же параметр в редакторе локальной групповой политики и выбрать параметр «Отключено» или «Не настроено».
Включить или отключить защищенное ведение журнала событий с помощью реестра
Чтобы включить или отключить защищенное ведение журнала событий в Windows 11/10 с помощью реестра, выполните следующие действия:
- Нажмите Win+R, чтобы отобразить приглашение «Выполнить».
- Введите regedit > нажмите кнопку "Ввод" > нажмите "Да".
- Перейдите к Windows в HKLM.
- Щелкните правой кнопкой мыши Windows > "Создать" > "Ключ".
- Назовите его EventLog.
- Щелкните правой кнопкой мыши EventLog > Создать > Ключ.
- Назовите его ProtectedEventLogging.
- Щелкните правой кнопкой мыши ProtectedEventLogging > Создать > Значение DWORD (32-разрядное).
- Задайте имя EnableProtectedEventLogging.
- Дважды щелкните по нему, чтобы установить значение данных равным 1.
- Щелкните правой кнопкой мыши ProtectedEventLogging > "Создать" > "Многострочное значение".
- Назовите его EncryptionCertificate.
- Дважды щелкните по нему, чтобы ввести сертификат шифрования.
- Нажмите кнопку "ОК".
- Перезагрузите компьютер.
Давайте подробно рассмотрим эти шаги.
Сначала вам нужно открыть редактор реестра на вашем компьютере. Для этого нажмите Win+R, чтобы отобразить диалоговое окно «Выполнить» > введите regedit > нажмите кнопку «Ввод» и выберите вариант «Да».
Открыв его, перейдите по следующему пути:
Щелкните правой кнопкой мыши Windows > Создать > Ключ и назовите его EventLog. Затем щелкните правой кнопкой мыши ключ EventLog > Создать > Ключ и задайте имя ProtectedEventLogging.
Здесь вам нужно создать одно значение REG_DWORD и одно многострочное значение. Для этого щелкните правой кнопкой мыши ключ ProtectedEventLogging > Создать > значение REG_DWORD и введите имя EnableProtectedEventLogging.
Дважды щелкните по нему, чтобы установить значение данных равным 1, и нажмите кнопку ОК.
Затем щелкните правой кнопкой мыши ключ ProtectedEventLogging > Создать > Многострочное значение и задайте имя как EncryptionCertificate.
Дважды щелкните по нему, чтобы ввести сертификат шифрования.
После этого нажмите кнопку ОК и перезагрузите компьютер.
Если вы хотите отключить защищенное ведение журнала событий с помощью редактора реестра, вам необходимо удалить значение REG_DWORD и многострочное значение.
СОВЕТ. Windows Event Viewer Plus — это портативное бесплатное приложение, которое позволяет просматривать журналы событий быстрее, чем встроенное по умолчанию средство просмотра событий Windows, а также экспортировать запись в текстовый файл. Нажмите кнопку поиска в Интернете, чтобы найти запись. в Интернете, чтобы получить дополнительную информацию или устранить ошибки.
Как защитить журналы событий?
Чтобы защитить журналы событий на вашем компьютере с Windows 11/10, вам необходимо следовать вышеупомянутым руководствам. Есть два способа сделать это — с помощью редактора локальной групповой политики и редактора реестра. Вы можете использовать любой из этих методов, если у вас есть ключ шифрования.
Какие существуют пять типов журналов событий?
К вашему сведению, существует пять различных типов журналов событий: информация, ошибка, аудит успеха, предупреждение и аудит сбоя. Вы можете зашифровать все виды журналов событий с помощью вышеупомянутых руководств. Вы можете использовать метод REGEDIT или GPEDIT, чтобы выполнить задание.
С момента появления Windows 8 корпорация Майкрософт побуждает пользователей входить на свои компьютеры с помощью учетной записи Майкрософт. Это означает, что для входа в систему с использованием учетной записи много информации, открытой для Microsoft, чтобы начать с основ — ваша история входа в систему, местоположение, использование приложения магазина Windows и т. д., тогда как ранее, до Windows 7 и более ранних версий, учетные записи пользователей были локальными учетными записями без какого-либо отношения к Интернету. Последней новостью стало бесплатное обновление до Windows 10, пользовательский интерфейс которого разработан таким образом, чтобы отдавать приоритет входу в систему или регистрации с использованием учетной записи Microsoft. Многие пользователи, обновляющие или настраивающие Windows 10 в первый раз, даже не знают, что у них все еще есть возможность настроить / войти в систему с помощью своих локальных учетных записей, потому что эта опция скрыта внизу (во время установки). (см. экран ниже), где у вас есть два варианта (1) Экспресс и (2) Настроить; при настройке вы должны настроить, если вы не хотите, чтобы ваш компьютер был связан с учетной записью Microsoft. Если вы сделали это по ошибке, вы все равно можете переключиться на локальную учетную запись, инструкции ниже.
Если вы вошли в систему с учетной записью Microsoft по ошибке, вы можете изменить ее на локальную учетную запись после входа в систему и перехода в «Настройки» -> «Выбрать учетные записи» -> «Ваша учетная запись» -> «Войти с локальная учетная запись», введите свой пароль и нажмите «Далее», настройте имя пользователя и пароль учетной записи и нажмите «Далее», затем выберите «Выйти и завершить»
После того как вы настроили локальную учетную запись, следующим шагом будет отключение ведения журнала данных или того, что вы предпочитаете не публиковать. Предполагая, что вы вошли в систему; перейдите в Настройки -> Конфиденциальность
Отключите конфиденциальность, выключив ее на правой панели, для каждой настройки, которую вы не хотите, если нет чего-то, что вам действительно нужно. Пройдитесь по списку. Здесь вы увидите все настройки, для которых может быть отключена конфиденциальность, на левой панели. Выберите параметр, а затем отключите его, выключив синюю кнопку на правой панели.
Отключение регистрации данных
На левой панели есть параметр «Отзывы и диагностика». Нажмите на него и выберите «Никогда» для «Windows должна запрашивать мой отзыв», выберите «Основной» для «Отправить данные вашего устройства в Microsoft»
Отключить обновления Windows
Во-первых, включение обновлений заставило Microsoft установить обновление для вашей системы, которое заставило вас перейти на Windows 10. Их отключение ограничивает возможности MS по отправке обновлений. Некоторые говорят, что это важно для безопасности, я бы просто использовал надежное антивирусное / брандмауэрное / вредоносное программное обеспечение, чтобы оставаться защищенным, вместо того, чтобы позволить MS устанавливать исправления.
Чтобы отключить обновления, перейдите в «Настройки» -> «Обновления Windows» -> «Дополнительные параметры» (находится внизу) -> «Выберите способ доставки обновлений» -> «И выключите переключатель».
Далее щелкните правой кнопкой мыши здесь ; сохраните файл. После того, как он будет сохранен, щелкните его правой кнопкой мыши еще раз и выберите «Запуск от имени администратора». Это приведет к удалению службы диагностики.
Отключить Кортану
Cortana – это новая поисковая система, объединяющая поиски локально и в Интернете. Я лично считаю, что эта функция бесполезна, я привык искать в Google и предпочел бы делать это, а не сообщать Кортане, что мне нужно. Тем не менее, это ваше предпочтение, если вам это нравится, используйте его.НО это также записывает ваши поиски/историю.
Windows 10 Корпоративная и Профессиональная
Удерживая нажатой клавишу Windows, нажмите R. Введите gpedit.msc и нажмите OK.
Отключить сбор данных
Перейдите к Конфигурации компьютера > Административные шаблоны > Компоненты Windows > Сбор данных и предварительные сборки > Дважды щелкните Телеметрия и выберите Отключено/Применить.
Отключить OneDrive
Затем перейдите в раздел Конфигурация компьютера > Административные шаблоны > Компоненты Windows > OneDrive > Дважды щелкните Запретить использование OneDrive для хранения файлов и выберите Включено/Применить.
Отключить Защитник Windows
Выберите «Конфигурация компьютера» > «Административные шаблоны» > «Компоненты Windows» > «Защитник Windows», дважды щелкните «Отключить защитник Windows» и выберите «Включено/Применить».
Отключить ведение журнала данных через редактор реестра
Затем нажмите «Пуск» -> введите regedit, щелкните его правой кнопкой мыши и выберите «Запуск от имени администратора». Перейти к
Найдите и выберите значение AllowTelemetry, дважды щелкните его и измените его значение на 0.
Ваш выбор
Вы можете заменить MS Edge на Firefox, Windows Media Player на VLC, Groove Music на Winamp и Photos на Windows Photo Viewer.
В мониторе ресурсов Windows 10 я обнаружил, что системный процесс постоянно пишет C:\ProgramData\Microsoft\Windows\wfp\wfpdiag.etl со скоростью примерно 30–100 КБ/с. Это соответствует 1 ТБ записи в год, что недопустимо для SSD. Есть и другие журналы записи, такие как C:\Windows\System32\LogFiles***.
Хотя журналы нужны для диагностики, их лучше включать только тогда, когда проблема уже возникла.
Можно ли отключить как можно больше системных журналов, чтобы уменьшить количество мусора, записываемого на SSD?
Время от времени я использую Resource Monitor для поиска проблем. Места, которые вы упомянули выше (Program Data и Windows), на моей машине невелики. Запустите Admin Tools, Disk Cleanup, Cleanup System Files и включите все выборки для очистки. Делайте это еженедельно некоторое время и смотрите, подходит ли размер папки для журналов. Я не отключаю системные журналы и все, что я читаю, поддерживает эту позицию
@John Меня волнует общий объем записи больше, чем занимаемое пространство. В моем случае wfpdiag.etl имеет размер всего 1 МБ, это может указывать на то, что небольшой размер не означает небольшой общий объем записи, который вредит SSD.
@jw_: Это определенно важно. Если часть файла перезаписывается, оставаясь в кеше, исходная запись никогда не попадает на диск. Это может произойти даже с кэшем на самом SSD (поэтому он невидим для ОС).
"Хотя журналы и нужны для диагностики, лучше включать их только тогда, когда проблема уже возникла." А??
@Nat Хотя технически вы правы, вам нужны только первые несколько символов их имени, а 9 символов достаточно, поэтому "@Lightness" работает :)
5 ответов 5
По умолчанию Windows имеет огромное количество файлов журналов, в которые постоянно записываются данные.
Два способа остановить некоторое это взбалтывание:
Если это удастся, ожидайте, что будет зарегистрировано меньше событий.
Отключить отдельные журналы
- Откройте средство просмотра событий Windows: нажмите Windows R , введите eventvwr.msc и нажмите Enter .
- Прокрутите вниз до Журналы приложений и служб , Microsoft , Windows , WFP .
- Щелкните правой кнопкой мыши процесс журнала и выберите "Отключить журнал" .
Полезным инструментом для поиска в журналах событий по имени является полное представление журнала событий Nirsoft.
Если имя файла журнала уже известно, существует ли общий способ узнать, какую запись в средстве просмотра журнала событий следует отключить? Например, System32\LogFile\WMI\NetCore.etl, есть запись WMI, под этой записью нет NetCore, надеюсь, это работает
NetCore.etl все еще записывается после отключения события в разделе Журналы приложений и служб->Microsoft-> Windows->WMI. Можно ли остановить это с помощью вышеуказанного метода?
Если вы хотите отключить ведение журнала определенных событий, перейдите в средство просмотра событий и щелкните правой кнопкой мыши журнал событий, от которого вы хотите избавиться. Нажмите Свойства события .
Должно открыться новое окно. Щелкните Представление XML , где вы сможете увидеть GUID события. Попробуем найти службу регистрации событий в реестре по этому GUID. Не все события имеют этот идентификатор GUID, и мы не сможем найти каждый идентификатор GUID в реестре.
После того, как мы получим наш GUID, мы переходим к HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System в regedit и ищем наш GUID в изогнутых скобках.
Если мы найдем его, мы сможем приступить к изменению ключей Enabled и EnabledProperty:
Вы пропустили шаг, который я не смог понять. Там, где вы написали «щелкните правой кнопкой мыши журнал событий, от которого вы хотите избавиться», как определить, какой журнал событий соответствует файлу, который, как показывает монитор ресурсов, интенсивно записывается? (Например: C:\Windows\System32\LogFiles\WMI\NetCore.etl) Я не вижу функции поиска в средстве просмотра событий и не могу найти NetCore.etl. Есть ли где-нибудь файл NetCore.etl — иголка в стоге сена — или это не тот журнал, который показывает программа просмотра событий?
Это может быть отдельный вопрос (или вопросы). Меня никогда не интересовали файлы в моем ответе, только события. Я думаю, что потребуется некоторая обратная разработка, чтобы выяснить это, или, по крайней мере, я не знаю способов узнать, какая служба ведения журнала записывает в какой файл. Вы всегда можете зайти в EventViewer и попытаться найти событие, соответствующее содержимому вашего файла NetCore.etl.
Когда я импортирую NetCore.etl в средство просмотра событий, результирующий список кажется бесполезным: «неизвестные» события и т. д. Блог ( medium.com/palantir/… ) подсказал мне идею запустить logman.exe: Когда я запустил « logman.exe query NetCore -ets» в выходных данных перечислено множество провайдеров: некоторые имеют читаемые имена (Диспетчер сетевых профилей, Microsoft-Windows-SruMon, трассировка осведомленности о сетевом расположении, Microsoft-Windows-NetworkConnectivityStatus), а остальные имеют имена, равные Provider Guid . Для большинства из них установлен уровень 5 (подробный).
Кажется, я нашел, как заставить NetCore.etl записываться на жесткий диск, а не на ssd. Я запустил Performance Monitor (приложение для Windows), перешел к наборам сборщиков данных | Сеансы трассировки событий, щелкните правой кнопкой мыши NetCore, щелкните Свойства, щелкните Каталог и перейдите к нужной папке. Я пока не знаю, будут ли изменения постоянными. Если бы кто-то хотел полностью остановить запись, предположительно, это можно было бы сделать, щелкнув «Стоп» вместо «Свойства», но я еще менее уверен, что это изменение будет постоянным. какое-то приложение может перезапустить его, возможно, при следующем перезапуске Windows.
Кажется, я понял, как заставить NetCore.etl записываться на жесткий диск, а не на ssd. Я запустил Performance Monitor (приложение для Windows) и перешел к разделу «Наборы сборщиков данных» | Event Trace Sessions, щелкните правой кнопкой мыши NetCore, щелкните «Свойства» в появившемся меню, щелкните вкладку «Каталог» и перейдите к нужной папке. Время покажет, является ли изменение постоянным, но на данный момент журнал записывается на мой жесткий диск E:, согласно Resource Monitor.
Если кто-то хочет полностью остановить запись NetCore.etl, щелкнув Stop вместо Properties, вероятно, это остановится. Но я менее уверен, что это изменение будет постоянным. Какое-то приложение может перезапустить его, возможно, при следующем перезапуске Windows. Если кто-то попытается это сделать, я надеюсь, что он/она опубликует результат в этой теме.
Несколько других файлов журналов могут быть перенаправлены (или остановлены) аналогичным образом.
Я нашел второй способ изменить папку, в которую записывается NetCore.etl, используя logman.exe с соответствующими параметрами командной строки. Этот метод имеет большое преимущество перед графическим интерфейсом Performance Monitor, поскольку его можно поместить в файл .bat и запускать при каждом запуске Windows. Сегодня я также узнал, что метод Performance Monitor не изменяет папку навсегда, поэтому задача запуска Windows, которая запускает logman, — это способ сделать это эффективно. Пример командной строки: "logman update trace NetCore -ets -o E:\Windows_System32_LogFiles_WMI\NetCore.etl" (без кавычек)
Ре. исходный пост: журнал событий Windows действительно записывает огромное количество данных на диск с течением времени; и есть много вариантов использования, где это очень нежелательно; Например, встроенные системы, которые нельзя обслуживать, и износ дисков вызывает озабоченность, а ресурсы в большом почете, поэтому желательно максимально сократить количество ненужных операций ввода-вывода.
Есть также случаи использования пользователем, когда нет контроля над ведением журнала событий Windows в типичном для Microsoft стиле, враждебный пользователю дизайн, поскольку больше не существует простого метода приостановки ведения журнала, когда он не нужен, не нужен. , и фактически является обязательством. Было предпринято множество окольных попыток, таких как эта, через приостановку потоков, но ни одна из них не работает надежно, просто приостановив ведение журнала событий Windows.
Одним из подходов, который может сработать для тех, кто просто хочет уменьшить износ диска, является использование Windows UWF или унифицированного фильтра записи, перенаправляющего на небольшой RAM-диск. список исключений, который отнимает много времени и громоздок, и опять же соответствует враждебному опыту пользователей Microsoft.
Microsoft остается совершенно глухой к этому вопросу или совершенно безразлична; Разработчики получают тот же заготовленный льстивый ответ «сделай этот день отличным», что и пользователи. Таким образом, любой дешевый и грязный взлом, который кто-либо найдет, будет приветствоваться и цениться.
Как отключить ведение журнала данных в Windows 10: ведение журнала данных — это сбор личных данных пользователей за определенный период времени крупными корпорациями с целью анализа этих данных в личных целях. Следовательно, регистрация данных является серьезной проблемой конфиденциальности, о которой большинство пользователей не знают, и Microsoft ничем не отличается, так как с введением Windows 10 Microsoft подталкивает пользователей к входу в свой ПК с использованием учетной записи Microsoft. Короче говоря, вам потребуется активное подключение к Интернету, и таким образом крупные корпорации могут легко следить за вашими личными данными.
До Windows 10 пользователи, как правило, могли входить в свой компьютер, используя локальную учетную запись, и им не требовалось активное подключение к Интернету для входа. Многие пользователи не понимают, что они могут настроить Windows 10 без использования Учетная запись Microsoft, но это потому, что эта опция хитро скрыта. В любом случае, не теряя времени, давайте посмотрим, как отключить ведение журнала данных в Windows 10 с помощью приведенного ниже руководства.
Как отключить регистрацию данных в Windows 10
Обязательно создайте точку восстановления на случай, если что-то пойдет не так.
1. Нажмите клавишу Windows + I, чтобы открыть настройки, затем нажмите «Конфиденциальность».
2. В меню слева выберите Общие.
3.Теперь в правом окне отключите/отключите параметры конфиденциальности, которые вы не одобряете, такие как рекламный идентификатор, отправка данных в Microsoft при наборе текста/клавиатуре, доступ веб-сайтов к вашим данным, доступ к приложениям ваши данные, местоположение и другие данные.
4. Снова в левом окне выберите Обратная связь и диагностика.
5. В правой части окна установите для диагностических данных значение «Основные», а для частоты обратной связи — «Никогда».
6.Перезагрузите компьютер, чтобы сохранить изменения.
Отключить ведение журнала данных во время установки Windows 10
1.При установке Windows 10 вам предоставляется возможность либо использовать Экспресс-настройки, либо настроить эти параметры.
3.Введите данные локальной учетной записи и продолжите установку Windows 10.
Войдите с помощью локальной учетной записи вместо учетной записи Microsoft
1. Нажмите клавишу Windows + I, чтобы открыть «Настройки», затем нажмите «Учетные записи».
2. В меню слева нажмите Ваша информация.
3.Теперь нажмите Войти с использованием локальной учетной записи.
4.Введите пароль своей учетной записи Microsoft и нажмите "Далее".
5.Установите имя пользователя и пароль для локальной учетной записи и нажмите "Далее".
6.Наконец нажмите «Выйти и завершить».
Отключить ведение журнала данных в Microsoft Edge
1.Откройте Microsoft Edge, затем нажмите три точки в правом верхнем углу.
2.В открывшемся меню нажмите Настройки.
3.Прокрутите вниз и нажмите Дополнительные настройки.
4. Снова прокрутите вниз, пока не увидите раздел "Конфиденциальность и параметры".
5.Отключите или отключите следующие параметры в разделе "Конфиденциальность и параметры":
- Попросить Кортану помочь мне в Microsoft Edge
- Показывать предложения поиска и сайтов по мере ввода
- Подсказка страницы
- Умный экран
6.Перезагрузите компьютер, чтобы сохранить изменения.
Отключить регистрацию данных Cortana
1. Нажмите клавишу Windows + I, чтобы открыть настройки, затем нажмите «Конфиденциальность».
2. В меню слева нажмите «Речь, рукописный ввод и ввод текста».
3.В разделе «Знакомство» нажмите «Отключить голосовые службы и подсказки при вводе».
4.Теперь снова вернитесь в меню настроек, затем нажмите Cortana.
5. В меню слева нажмите «Разрешения и история».
8.Прокрутите вниз и нажмите "Очистить историю моего устройства" в разделе "История".
9. Перезагрузите компьютер, чтобы сохранить изменения.
Отключить ведение журнала данных через редактор реестра
1. Нажмите клавишу Windows + R, затем введите regedit и нажмите Enter.
2.Перейдите к следующему разделу реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\DataCollection
3. Убедитесь, что выбран ключ DataCollection, а затем в правой панели окна дважды щелкните AllowTelemetry.
4.Измените его значение на 0 и нажмите OK.
5. Перезагрузите компьютер, чтобы сохранить изменения.
Отключить ведение журнала данных с помощью редактора групповой политики
Примечание. Этот метод работает только для пользователей Windows 10 Enterprise и Professional.
1. Нажмите клавишу Windows + R, затем введите gpedit.msc и нажмите Enter.
2.Перейдите по следующему пути:
3.Теперь в правой части окна дважды щелкните AllowTelemetry, затем выберите Disable.
4.Нажмите «Применить», а затем «ОК».
5.Аналогично перейдите по следующему пути в окне gpedit:
Конфигурация компьютера > Административные шаблоны > Компоненты Windows > OneDrive
6. В правой части окна дважды щелкните Запретить использование OneDrive для хранения файлов.
8. Перезагрузите компьютер, чтобы сохранить изменения.
Рекомендуется:
Вот и все, вы успешно изучили, как отключить ведение журнала данных в Windows 10, но если у вас все еще есть какие-либо вопросы относительно этого поста, не стесняйтесь задавать их в разделе комментариев.
Адитья Фаррад
Адитья – целеустремленный профессионал в области информационных технологий. Последние 7 лет он пишет о технологиях. Он занимается интернет-сервисами, мобильными устройствами, Windows, программным обеспечением и практическими руководствами.
Читайте также: