В Windows вы можете очистить журналы событий Event Viewer с помощью графической оснастки eventvwr.msc, из командной строки и с помощью PowerShell.
Журнал событий предназначен для просмотра всех действий, которые выполнила операционная система компьютера. В нем отображаются критические ошибки, предупреждения и сведения о работе драйверов и программ. Используется в целях диагностики, выявления и устранения неполадок.
Путем регулярного просмотра и изучения истории выявляются неисправности и слабые места в защите устройства. Полезен обычным пользователям, системным администраторам и владельцам серверов.
Командная строка — мощный инструмент в Windows, с помощью которого вы можете выполнить несколько задач в одном окне. Поэтому легко заблудиться между введенными вами командами и ответами и выводами инструмента. В этой статье мы хотим показать вам, как легко просмотреть историю командной строки на вашем ПК с Windows.
Мы также покажем вам, как экспортировать историю командной строки в текстовый файл. Благодаря этому вам будет проще обращаться к своим командам и делиться ими с кем-то еще.
Однако учтите, что вы потеряете всю историю командной строки, как только закроете окно или выключите компьютер с Windows. Таким образом, вы можете получить доступ к истории только при наличии активного сеанса CMD.
Зарегистрируйтесь для доступа к 15+ бесплатным курсам по программированию с тренажером
История
Основы командной строки
Чем больше работаешь в командной строке, тем чаще возникает необходимость повторять введенные ранее команды. Самый простой способ просматривать историю команд — нажимать клавиши «вверх» и «вниз». При каждом нажатии стрелки «вверх» в поле ввода начнет появляться предыдущая выполненная команда, если нажать «вниз» — то следующая.
В этом уроке вы узнаете, как работать с историей и где это может пригодиться.
История команд bash хранится в специальном файле .bash_history, который лежит в домашней директории пользователя. Каждый раз, когда пользователь вводит команду, она попадает именно в этот файл. Запись происходит при завершении сеанса. Этот файл ничем не отличается от остальных файлов: его можно открыть, посмотреть и даже отредактировать. За то, какое количество команд хранится в истории, отвечает переменная окружения HISTFILESIZE. Если она выставлена, то берется указанное в ней число. Если переменной нет, история не обрезается и файл .bash_history растет бесконечно:
.bash_history
one/
/tmp
/tmp
Посмотреть историю можно и более простым способом. Достаточно выполнить команду history:
Эта команда выведет содержимое файла .bash_history, добавив слева номер. Если набрать history 5, то отобразятся только пять последних введенных команд. Используя номер команды в выводе history, можно выполнить повторный запуск без необходимости набирать или копировать команду из истории:
При необходимости историю всегда можно погрепать:
Последнее и самое интересное — реверсивный поиск. Если нажать комбинацию Ctrl + r, то запустится поиск по истории. Он ожидает ввода символов и сразу отображает ближайшую команду, в которой эти символы встречаются. Если найденное соответствие вас не устроило, то повторное нажатие Ctrl + r выберет следующее соответствие из истории:
На скриншоте выше продвинутая версия этого поиска, работающая через утилиту .
Самостоятельная работа
Проанализируйте историю на своем локальном компьютере и поэкспериментируйте с реверсивным поиском.
Остались вопросы? Задайте их в разделе «Обсуждение»
Вам ответят команда поддержки Хекслета или другие студенты
Сегодня мы будем учиться анализировать логи Windows и смотреть полную информацию о файле в таблице MFT. Это поможет нам восстановить последовательность действий злоумышленника в системе и раскрыть его никнейм.
Площадкой для упражнений нам послужит задание Jinkies c ресурса Hack The Box Sherlocks.
По сценарию задания компьютерная атака произошла 6 октября в инфраструктуре стартапа Cloud-Guru-Management Ltd, где разрабатывают некий продукт. Известно, что пользователь взломанного компьютера случайно предоставил общий доступ к своей папке Documents, а также утверждает, что в этот день его не было за компьютером. Генеральный директор Cloud-Guru-Management 6 октября получил устные сообщения о том, что интеллектуальная собственность компании была украдена. Команда реагирования на инциденты собрала артефакты операционной системы взломанного компьютера с помощью утилиты KAPE. Наша задача — провести расследование инцидента и восстановить картину взлома ресурса.
Используемые утилиты
Загрузим файл архива задания и приступим к исследованию артефактов.
В файле архива содержатся следующие данные: каталог TriageData, в котором расположены собранные файловые артефакты операционной системы; каталог LiveResponse, содержащий список запущенных процессов; информация о системе и много других волатильных данных.
Нам известно, что компьютерный инцидент произошел 6 октября 2023 года. Проанализируем все события операционной системы за этот день. Откроем утилиту FullEventLogView и загрузим логи, расположенные по такому пути:
Первым делом проанализируем сообщения о событиях авторизации в системе и запуска процессов. На исследуемом хосте установлена служба Sysmon (системный монитор) — эта утилита разработана в Microsoft для расширенного аудита Windows. Sysmon предоставляет подробную информацию об активности системы на уровне процессов и сети. Подробная информация о каждом идентификаторе событий есть в документации Microsoft.
В 17:15 зафиксировано событие с идентификатором 4624, тип входа 3 (сетевой вход) с хоста 192.168.157.151, с использованием учетных данных пользователя Velma.
Содержимое ключа реестра LanmanServer
Также по пути, приведенному ниже, расположены дескрипторы безопасности, то есть разрешения для доступа к общим каталогам.
Иногда бывает необходимо понять кто удалил/изменил/переименовал конкретный файл или папку. В ОС Windows для этого используется аудит доступа к объектам.
Аудит – это запись в специальные журналы информации об определенных событиях (источник, код события, успешность, объект и т.д. ). Объектом аудита может являться как любой файл или папка, так и определенное событие, например вход в систему или выход из нее, то есть можно записывать все события происходящие с конкретным файлом или папкой – чтение, запись, удаление и т.д., можно события входа в систему и т.д.
Необходимо понимать, что аудит забирает на себя.
Для того, чтобы можно было настраивать аудит файлов и папок необходимо предварительно включить эту возможность через локальные (или в случае если у Вас используется Microsoft AD групповые) политики безопасности.
В случае локальных политик необходимо запустить оснастку “Локальная политика безопасности”, для этого необходимо нажать комбинацию клавиш Win+R, в открывшееся поле ввести secpol.msc и нажать клавишу Enter.
В открывшейся оснастке в дереве слева необходимо перейти в раздел “Локальные политики” – “Политика аудита”.
Далее необходимо выбрать необходимую нам политику – в данном случае это “Аудит доступа к объектам”. Именно этой политикой регулируется доступ к объектам файловой системы (файлам и папкам) и раскрыть ее двойным щелчком мыши. В открывшемся окне необходимо выбрать какие именно типы событий будут регистрироваться – “Успех” (разрешение на операцию получено) и/или “Отказ” – запрет операции и проставить соответствующие галочки, после чего нажать “Ок”.
Теперь когда включена возможность ведения аудита интересующих нас событий и их тип можно переходить к настройке самих объектов – в нашем случае файлов и папок.
Для этого необходимо открыть свойства файла или папки, перейти на вкладку “Безопасность”, нажать “Дополнительно” и “Аудит”.
Нажимаем “Добавить” и начинаем настраивать аудит.
Сначала выбираем субъект – это чьи действия будут аудироваться (записываться в журнал аудита).
Можно вписать туда имя пользователя или группы, если имя заранее неизвестно, то можно воспользоваться кнопкой “Дополнительно” которая открывает форму поиска где можно выбрать интересующих нас пользователей и группы. Чтобы контролировались действия всех пользователей необходимо выбрать группу “Все”.
Далее необходимо настроить тип аудируемых событий (Успех, Отказ, Все), также область область применения для аудита папок – только эта папка, папка с подпапками, только подпапки. только файлы и т.д., а также сами события аудита.
Для папок поля такие:
А такие для файлов:
После этого начнется сбор данных аудита. Все события аудита пишутся в журнал “Безопасность”. Открыть его проще всего через оснастку “Управление компьютером” compmgmt.msc.
В дереве слева выбрать “Просмотр событий” – “Журналы Windows” – “Безопасность”.
Каждое событие ОС Windows имеет свой код события. Список событий достаточно обширен и доступен на сайте Microsoft либо в интернете.
Попробуем например найти событие удаления файла, для этого удалим файл на котором предварительно настроен аудит (если это не тестовые файл, то не забываем сделать его копию, так как аудит это всего лишь информация о действиях, а не разрешение/запрет этих действий). Нам нужно событие с кодом 4663 – получение доступа к объекту, у которого в поле Операции доступа Написано “DELETE” . Поиск событий в журналах Windows достаточно сложен, поэтому обычно используются специализированные средства анализа – системы мониторинга, скрипты и т.д.
Вручную можно, например, задать например такой фильтр:
Далее в отфильтрованных событиях необходимо найти интересующее нас по имени объекта.
Открыть его двойным щелчком мыши и увидеть кто удалил данный файл в поле субъект.
На этом демонстрация аудита доступа к файлам и папкам Windows на примере Windows server 2012R2 окончена. В нашей базе знаний вы найдёте ещё множество статей посвящённых различным аспектам работы в Windows, а если вы ищете надежный виртуальный сервер под управлением Windows, обратите внимания на нашу услугу — Аренда виртуального сервера Windows.
Просмотр лога обновлений WindowsUpdate.log в Windows 10 и 11
Начиная с Windows 10, логи агента обновления Windows не пишутся в реальном времени в файл
%windir%WindowsUpdate.log
. Если открыть этот файл, в нем будет указано, что формат лога был изменен:
Вместо этого логи Windows Update пишутся в ETL-файлы в каталоге
%windir%LogsWindowsUpdate
. Чтобы конвертировать ETW трейсы из ETL файлов в привычный текстовый файл с логом WindowsUpdate.log, воспользуйтесь командлетом Get-WindowsUpdateLog:
Get-WindowsUpdateLog -logpath C:TempWindowsUpdate.log
В старых версия ОС (Windows 10 1709- и в Windows Server 2016) для преобразования логов на компьютере должен быть открыт доступ в интернет с серверу символов Microsoft (msdl.microsoft.com).Если доступ в интернет заблокирован, вы можете скопировать ETL файлы на компьютер с новым билдом Windows 10/11 и сгенерировать лог файл с помощью команды:
Get-WindowsUpdateLog -ETLPath “C:TempWindowsUpdateETL” -LogPath “C:TempWindowsUpdate.log”
Откройте журнал Windows Update с помощью блокнота:
Совет. Обратите внимание, что созданный файл WindowsUpdate.log является статическим и не обновляется в реальном времени, как в предыдущих версиях Windows.
Анализировать получившийся файл WindowsUpdate.log довольно сложно, т.к. в нем собираются данные из множества источников:
Вы можете выбрать последние 30 событий от агента обновления Windows (agent) с помощью простого регулярного выражения PowerShell, выполняющего поиск текста в файле:
По логу WindowsUpdate.log можно понять, получает ли компьютер обновления с Windows Update или локального WSUS сервера, есть ли проблемы с доступном в Интернет, используется ли системный прокси и т.д.
Просмотр журнала обновлений Windows в Event Viewer
Служба обновлений Windows пишет довольно подробный лог о всех выполненных действиях в журналы Event Viewer (eventvwr.msc). При анализе логов установки Windows администратору будут полезные следующие журналы событий:
Вы можете выбрать события из журналов загрузки и установки обновлений с помощью PowerShell командлета Get-WinEvent:
Вывести десять последних ошибок в журнале клиента Windows Update:
Вывести список последних установленных обновлений Windows:
Удаление логов Windows из командной строки
Для очистки журналов Windows из командной строки используется утилита wevtutil.exe.
Вывести список зарегистрированных в Windows журналов событий:
или короткий вариант:
Для удаления событий из одного конкретного журнала, скопируйте его имя и выполните команду:
WevtUtil cl Microsoft-Windows-GroupPolicy/Operational
Перед очисткой можно создать резервную копию событий в журнале в отдельный файл:
WevtUtil cl Microsoft-Windows-GroupPolicy/Operational /bu:GPOLOG_Bak.evtx
Можно очистить сразу все журналы событий из cmd.exe:
for /F “tokens=*” %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl “%1”
Для BAT файла нужно использовать немного другой синтаксис:
for /F “tokens=*” %%1 in (‘wevtutil.exe el’) DO wevtutil.exe cl “%%1”
Быстрый просмотр истории команд
Мы надеемся, что эта статья поможет вам получить доступ и просмотреть историю командной строки. Какая ваша любимая команда, которая позволяет вам сэкономить много времени за компьютером? Дайте нам знать в комментариях ниже!
Открыть доступ
Курсы программирования для новичков и опытных разработчиков. Начните обучение бесплатно
Наши выпускники работают в компаниях:
от 6 300 ₽ в месяц
Осваивайте разработку веб-страниц, оживляйте дизайн макетов, публикуйте сайты и приложения. Отслеживайте ошибки в интерфейсе и устраняйте их
Обучитесь разработке бэкенда сайтов и веб-приложений — серверной части, которая отвечает за логику и базы данных
от 6 183 ₽ в месяц
Выполняйте ручное тестирование веб-приложений, находите ошибки в продукте. Узнайте все о тест-дизайне.
Научитесь разработке веб-приложений, сайтов и программного обеспечения на языке Java, программируйте и используйте структуры данных
от 5 025 ₽ в месяц
Собирайте, анализируйте и интерпретируйте данные, улучшайте бизнес-процессы и продукт компании. Обучитесь работе с библиотеками Python
Занимайтесь созданием сайтов, веб-приложений, сервисов и их интеграцией с внутренними бизнес-системами на бекенд-языке PHP
от 9 900 ₽ в месяц
Обучитесь разработке визуальной части сайта — фронтенда, а также реализации серверной — бэкенда. Освойте HTML, CSS, JavaScript
Разработка бэкенд-компонентов для веб-приложений
Организовывайте процесс автоматизации тестирования на проекте, обучитесь языку программирования JavaScript, начните управлять процессом тестирования
Как экспортировать историю командной строки в текстовый файл
Командная строка также позволяет экспортировать историю команд, выполненных в сеансе, в текстовый файл. Вы также можете указать желаемое место для сохранения текстового файла. Вот как вы можете это сделать.
Шаг 1. Получив доступ к истории, введите cd, чтобы изменить каталог, и введите путь к папке, в которой вы хотите сохранить текстовый файл. Введите следующую команду ниже и нажмите Enter.
Убедитесь, что вы вводите путь в двойных кавычках. Чтобы найти путь к папке, щелкните папку правой кнопкой мыши и выберите «Копировать как путь».
Шаг 2: Вот и все. Теперь вы можете открыть папку, в которой вы сохранили историю, и получить доступ к файлу «history.text».
Как увеличить размер истории командной строки
Вы можете увеличить размер страницы истории команд, настроив свойства окна командной строки.
По умолчанию командная строка сохраняет в своей истории ограниченное количество ранее введенных команд. Размер по умолчанию установлен на 50 команд. Вот как можно увеличить размер истории команд:
Шаг 1. Откройте окно CMD и введите следующую команду.
Мы изменили размер с 50 на 150. Вы можете ввести любое желаемое значение, чтобы увеличить историю.
Варианты запуска
Существует четыре основных метода запуска на любой случай.
Значок «Пуск»
Просмотрщик вызывается с помощью правого нажатия по кнопке меню «Пуск» из контекстного меню. Пожалуй, это самый простой и быстрый вариант запуска.
Через поиск
Чтобы найти и открыть журнал событий, нужно в поисковике (знак лупы) ввести фразу «Просмотр событий» и щелкнуть по нему. Правда, этот способ не работает при выключенном индексировании.
С помощью специальной команды
Инструмент работает как отдельное приложение, потому легко вызывается комбинацией через окно выполнить «Win + R — eventvwr.msc — Ок».
Через командную строку — Win + R — CMD — Ctrl + Shift + Alt + Enter (для открытия консоли с правами администратора) — eventvwr.msc — Enter.
Через интерфейс
Еще один вариант — использование панели управления. Покажу, как это сделать на примере.
Способ 1. Используйте сочетание клавиш для доступа к истории командной строки
Существует сочетание клавиш для быстрого просмотра истории в CMD. Вы можете удерживать клавишу F7 или удерживать клавишу Fn вместе с F7, чтобы получить доступ к истории ваших команд. Он появится в виде диалогового окна.
Для навигации по командам можно использовать клавиши со стрелками вверх и вниз. Нажмите клавишу ввода, чтобы выполнить выделенную команду.
Альтернативно вы можете использовать команду для просмотра истории сеанса CMD. После выполнения серии команд в сеансе используйте приведенную ниже команду и нажмите клавишу ввода, чтобы получить доступ к своей истории.
Если в вашей истории много команд, гораздо удобнее экспортировать их в текстовый файл — подробнее об этом мы перейдем к следующему разделу статьи.
Очистка журнал событий из графической консоли Event Viewer
Самый интуитивный способ очистки журналов событий Windows – воспользоваться графической консоль Event Viewer.
Такой способ позволяет быстро удалить все события из одного конкретного журнала. Однако в Windows используется несколько сотен журналов для разных компонентов операционной системы и стороннего ПО.
По умолчанию Windows хранит журналы в файлах с расширением EVTX в каталоге
%SystemRoot%System32WinevtLogs
.
Если вам нужно очистить их все – это будет утомительно вручную прощелкать все разделы Event Viewer и очистить каждый журнал. В этом случае для удаления событий лучше использовать PowerShell или командную строку.
Команда PowerShell для очистки журналов событий
В PowerShell для получения списка журналов событий Windows и их очистки можно использовать командлеты Get-WinEvent и Clear-EventLog.
Откройте консоль PowerShell с правами администратора, выведите список всех имен журналов в Windows и их настройки:
Get-WinEvent -ListLog *
Команда выведет максимальные размеры и параметры всех журналов событий Windows.
Чтобы удалить все события из двух журналов (например, журналов Security и System), выполните команду:
Clear-EventLog –LogName Security,System
При этом журнал очищается, и в него записывается событие с EventID 104 или 1102 с временем очистки, пользователем, выполнившим и описанием:
The System log file was cleared
The audit log was cleared.
Для очистки административных и операционных журналов событий Windows, выполните такую однострочную команду PowerShell:
Примечание. В нашем примере не удалось очистить 3 журнала из-за ошибки доступа. Попробуйте вручную очистить содержимое этих журналов из консоли Event Viewer.
Отвечаю на популярные вопросы
Что делать, если просмотрщик отключен? Как его включить?
Можно ли отключить службу просмотра событий?
Да, можете остановить средство ведения журнала. Это никак не повлияет на работу ОС. Но вы лишитесь отличного инструмента для проведения диагностики и аудита неполадок компьютера.
Как проще всего просмотреть график включений и выключений компьютера? Чтобы не искать в общем списке из тысячи строк.
Обзаведитесь бесплатной утилитой «TurnedOnTimesView». Ссылка на официальный сайт разработчика «NirSoft».
Перемещаемся в «Загрузка». Выставляем галочку напротив нужного пункта. Сохраняем параметры, кликнув «Применить» и «Ок». После этого начнется запись логов.
Грузит диск, процессор (загружены все ядра) и пожирает оперативную память. Как это исправить?
Иногда, служба узла журнала событий создает немалую нагрузку на комплектующие, что затрудняет пользование компьютером. Чаще всего это связано со сбоями Windows 10 и исправляется следующим образом.
Дополнительно попробуйте отключить обновления.
Способы применения (краткий инструктаж по работе)
Большинство «профессиональных» пользователей уверены, что обычным юзерам не нужно даже погружаться в эту тему, ведь она никогда им не пригодится. Однако это не так. Данный инструмент невероятно полезен в отдельных ситуациях.
Например, если появляется синий экран (BSOD) или ОС сама по себе перезагружается время от времени. Почему это происходит и что послужило причиной можно узнать в журнале событий. Если ошибка связана с обновлением драйверов, то будет указано оборудование, с которым возникла проблема, и эффективные пути для ее решения.
Знакомство
Коротко разберем интерфейc журнала событий, чтобы не потеряться и понимать, где и что находится.
В левой части — навигационное меню с категориями. Наиболее интересны:
В центральной части можно просмотреть список событий за последнее время и подробную информацию о каждом из них.
Правая часть окна — область действий. Доступны опции удаления, сохранения, копирования и другие.
Для упрощения поиска отчета нужно запомнить время возникновения сбоя и, исходя из временных рамок, искать его.
Снизу появятся общие сведения о неполадке. Читаем описание, запоминаем значение из поля «Источник» и «Код». Открываем «Google» или «Yandex» и по имеющимся данным ищем способы исправления неполадки.
Изначально данная служба разрабатывалась исключительно для администраторов, которые постоянно ведут мониторинг состояния серверов, выявляют сбои и причины их появления, и после чего пытаются быстро их устранить.
Не пугайтесь, если устройство работает исправно, но выводятся предупреждения об ошибках. Это нормальное явление. Любые сбои, в том числе незначительные, записываются и сохраняются, переживать не стоит.
Методы очистки
Существует пять основных способов, с помощью которых можно очистить журнал событий.
Подробно рассмотрим каждый из них и узнаем, как их применить на практике.
Ручной
В первую очередь предлагаю разобрать вариант самостоятельной очистки. Он достаточно простой и не требует использования специальных команд и установки стороннего софта.
Создание и использование «.bat»
Пожалуй, это еще один достаточно простой метод. Разберем более подробно.
Если вам лень создавать этот файл, то вот . Используйте спокойно, вирусов нет.
Командная строка
Также почистить журнал событий от ошибок, предупреждений и прочих сообщений можно через командную строку «CMD».
После этого все отчеты удалятся.
В Windows 10 предусмотрена более подвинутая версия стандартной консоли — PowerShell. Воспользуемся ей.
Действуем по шагам:
Не обращайте внимания на возможные ошибки, на результат они не влияют. Разделы очистятся.
CCleaner
Специализированный софт по очистке ОС и исправлению проблем в реестре. Распространяется бесплатно. Поддерживает Windows 10 – 8 – 7.
Часто задаваемые вопросы по истории командной строки
1. Почему команда «doskey history» не показывает никаких результатов?
Убедитесь, что вы просматриваете историю в активном сеансе, в котором вы ранее выполняли команды. Вы не можете просмотреть историю ранее закрытых командных сессий.
2. Не работает сочетание клавиш F7 для открытия истории. Что мне делать?
Попробуйте использовать комбинацию клавиш Fn+F7 для доступа к истории в командном окне.
3. На какое максимальное число я могу увеличить размер истории команд?
Вы можете увеличить размер истории команд, чтобы хранить до 999 команд.
4. Как просмотреть историю командной строки с отметками времени в Windows?
В Windows нет встроенной функции, позволяющей просматривать историю командной строки с метками времени.
История установки обновлений в Windows
В современных версиях Windows 10/11 и Windows Server 2019/2022 журнал установленных обновлений доступен в панели Settings.
В этом разделе отображается список всех установленных в Windows обновлений. Отсюда же можно удалить обновление, если оно вызывает проблемы.
Также вы можете получить историю установки обновлений в Windows с помощью PowerShell. Можно получить дату установки последних обновлений на компьютере через CIM класс:
Или с помощью командлета
Get-WUHistory
из модуля PSWindowsUpdate.
Как проверить историю PowerShell
Если вы используете PowerShell на своем ПК с Windows для выполнения команд, это довольно просто. Все, что вам нужно сделать, это ввести команду HISTORY, и PowerShell покажет вам историю команд.
Это все, что вам нужно знать для просмотра истории командной строки в Windows.
