كيفية مسح سجل أحداث Windows من سطر الأوامر

غالبًا عندما تريد استكشاف المشكلات وإصلاحها أو إجراء فحص عام لحالة نظامك ، يجب عليك استخدام Event Viewer. يعرض لك عارض الأحداث جميع أحداث Windows التي يتم تسجيلها مثل المعلومات والأخطاء والتحذيرات والنقد والإسهاب. ولكن هناك العديد من الأحداث هنا بما في ذلك الأنشطة العادية تمامًا التي يتم تسجيلها بحيث يصبح من الصعب تحديد الأحداث المتعلقة بأشياء لا تعمل كما هو متوقع أو تسبب أخطاء. لذلك قد تحتاج من وقت لآخر إلى مسح سجل الأحداث. في هذه المقالة ، سنرى كيف يمكنك مسح سجل الأحداث تلقائيًا أو من سطر الأوامر.

يعد كل من System Log و Application Log (سجل التطبيق) من السجلات المهمة التي قد ترغب في مسحها من حين لآخر. يمكنك مسح أي سجل أحداث يدويًا بالنقر فوقه بزر الماوس الأيمن واختيار "مسح السجل ..." من قائمة النقر بزر الماوس الأيمن. ومع ذلك ، قد ترغب أيضًا في إجراء هذا تلقائيًا بحيث يتم مسح سجل الأحداث كل 7 أيام أو 15 يومًا. يمكنك أيضا قم بإعداد مهمة مجدولة يتم تشغيلها تلقائيًا باستخدام ElevatedShortcut لمسح سجل الأحداث.

كيفية مسح سجل أحداث معين فقط باستخدام موجه الأوامر

1. افتح موجه الأوامر كمسؤول (أنظر كيف).
2. لمسح سجل معين ، يجب أن تعرف اسمه أولاً. لمشاهدة قائمة بسجلات الأحداث ، اكتب:

   wevtutil el

   
3. ينتج عن هذا قائمة طويلة جدًا من السجلات. يمكنك استخدام الأمر: 'wevtutil el | more '(بدون علامات الاقتباس) لعرض الإخراج شاشة واحدة في كل مرة. أو يمكنك إخراجها إلى ملف نصي باستخدام الأمر:

   wevtutil el> Loglist.txt

   يؤدي هذا إلى إنشاء ملف نصي Loglist.txt في دليل العمل لموجه الأوامر (نفس المجلد الذي تتواجد فيه حاليًا في موجه الأوامر).

4. الآن بعد أن عرفت اسم السجل الذي تريد مسحه ، يمكنك استخدام الأمر التالي:

   تطبيق wevtutil cl

5. الأمر أعلاه يمسح سجل التطبيق. لمسح سجل النظام ، استخدم: "wevtutil cl System" (بدون علامات الاقتباس).

كيفية مسح كافة سجلات الأحداث باستخدام موجه الأوامر

1. افتح المفكرة وقم بنسخ النص التالي ولصقه فيه:

   @صدى خارج. بالنسبة إلى / F "الرموز = 1،2 *" ٪٪ V IN ('bcdedit') قم بتعيين المسؤول = ٪٪ V. إذا (٪ adminTest٪) == (الوصول) انتقل إلى noAdmin. لـ / F "الرموز = *" ٪٪ G in ('wevtutil.exe el') DO (استدعاء: do_clear "٪٪ G") صدى صوت. تم مسح سجلات أحداث الصدى! اذهب إلى نهاية.: do_clear. صدى المقاصة٪ 1. wevtutil.exe cl٪ 1. غوتو: eof.: لا صدى يجب تشغيل هذا البرنامج النصي كمسؤول! صدى صوت. :النهاية

2. احفظه كملف دفعي وأعطه أي اسم تريده على سبيل المثال: ClEvtLog.bat أو ClEvtLog.cmd.
   تلميح: لحفظ نص بملحق .bat أو .cmd مباشرةً ، اكتب اسم الملف بين علامتي اقتباس ، أي "ClEvtLog.bat" أو "ClEvtLog.cmd".
3. انسخ هذا الملف الدفعي إلى دليل ما إلى مسار النظام الخاص بك مثل C: \ Windows حتى لا تضطر إلى كتابة المسار الكامل إليه في كل مرة تقوم بتشغيله.
4. افتح موجه أوامر غير مقيد (أنظر كيف).
5. قم بتشغيل الملف الدفعي من موجه الأوامر: ClEvtLog.cmd. يمكنك أيضًا تشغيله مباشرة دون فتح موجه الأوامر أو استخدام cmd / c بحيث يتم إغلاق موجه الأوامر بعد تشغيله.
   

كيفية مسح كافة سجلات الأحداث باستخدام PowerShell

1. افتح PowerShell كمسؤول (انظر كيف).
2. اكتب الأمر التالي أو انسخه والصقه في PowerShell:

   wevtutil el | كائن Foreach {wevtutil cl "$ _"}

   
3. اضغط دخول. انتظر بضع ثوان حتى يتم مسح جميع السجلات. يمكنك الآن الخروج من PowerShell عن طريق كتابة Exit.

كيفية مسح كافة سجلات الأحداث باستخدام VBScript / WMI (سجلات الأحداث الكلاسيكية فقط)

1. افتح المفكرة وقم بنسخ النص التالي ولصقه فيه:

   strComputer = "." اضبط objWMIService = GetObject ("winmgmts:" _. & "{impersonationLevel = impersonate، (Backup، Security)}! \\" _. & strComputer & "\ root \ cimv2") اضبط colLogFiles = objWMIService. ExecQuery _. ("حدد * من Win32_NTEventLogFile") لكل objLogfile في colLogFiles. objLogFile. سجل الأحداث واضح() التالي

2. احفظه كملف VBScript (.VBS) وامنحه أي اسم تريده على سبيل المثال: ClEvtLog.vbs.
   تلميح: لحفظ نص بملحق .vbs مباشرةً ، اكتب اسم الملف بين علامتي اقتباس ، أي "ClEvtLog.vbs".
3. انسخ ملف VBScript هذا إلى دليل ما إلى مسار النظام الخاص بك مثل C: \ Windows حتى لا تضطر إلى كتابة المسار الكامل إليه في كل مرة تقوم بتشغيله.
4. افتح موجه أوامر غير مقيد (أنظر كيف).
5. قم بتشغيل ملف VBScript من موجه الأوامر: CScript ClEvtLog.vbs. يمكنك أيضًا تشغيله مباشرة دون فتح موجه الأوامر أو استخدام cmd / c بحيث يتم إغلاق موجه الأوامر بعد تشغيله.
   تقوم طريقة VBScript / WMI بمسح سجلات الأحداث الكلاسيكية فقط (التطبيق والأمان والنظام وما إلى ذلك ، وليس نوع XML الجديد لسجلات الأحداث التي يتم مسحها بواسطة PowerShell أو wevtutil.exe).

لاحظ أيضًا أن هذه البرامج النصية لا تنسخ السجلات احتياطيًا قبل مسحها. إذا كنت تريد عمل نسخة احتياطية من سجلات الأحداث ، فابحث في مركز البرامج النصية لـ Microsoft للعينات.