Sie können Ereignisse in einem Ereignisprotokoll löschen, indem Sie die Ereignisanzeige verwenden oder den Befehl wevtutil in eine Befehlszeile eingeben.

So löschen Sie ein Ereignisprotokoll mithilfe der Ereignisanzeige

  1. Starten Sie die Ereignisanzeige.

  2. Wechseln Sie in der Konsolenstruktur zu dem Protokoll, das Sie löschen möchten.

  3. Klicken Sie im Menü Aktion auf Protokoll löschen.

  4. Sie haben die Möglichkeit, entweder das Ereignisprotokoll zu löschen oder zunächst eine Kopie des Protokolls zu speichern und es dann zu löschen.

    • So löschen Sie das Ereignisprotokoll ohne Speicherung: Klicken Sie aufLöschen.

    • So löschen Sie das Ereignisprotokoll nach dem Speichern: Klicken Sie auf Speichern und Löschen, geben Sie unter Dateiname im Dialogfeld Speichern unter einen Namen für die gespeicherte Datei ein, und klicken Sie auf Speichern.
So löschen Sie ein Ereignisprotokoll an der Befehlszeile

  1. Klicken Sie zum Öffnen einer Eingabeaufforderung auf Start, geben Sie in das Feld Suche starten die Zeichenfolge cmd ein, und drücken Sie dann die EINGABETASTE.

  2. Geben Sie den folgenden Befehl ein:

    wevtutil cl <LogName> [/bu: <backup_file_name>]

Um mehr über die Option zum Löschen von Protokollen des Befehlszeilentools wevtutil zu erfahren, geben Sie an der Befehlszeile Folgendes ein:

wevtutil cl -?

Weitere Überlegungen

  • Sie benötigen für das Protokoll die Berechtigung Löschen, um diesen Vorgang auszuführen. Administratoren verfügen standardmäßig über die Berechtigung zum Löschen von Ereignisprotokollen. Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, um die Berechtigung Löschen für ein Protokoll für andere Gruppen festzulegen:

    wevtutil sl <LogName> /ca:<SecurityDescriptor>
    Die Sicherheitsbeschreibung für jedes Protokoll wird mithilfe der SDDL-Syntax (Security Descriptor Definition Language) angegeben. Weitere Informationen zur SDDL-Syntax finden Sie im Abschnitt zur Security Descriptor Definition Language (SDDL) (möglicherweise in englischer Sprache) auf der MSDN-Website.

    Beachten Sie beim Erstellen einer SDDL-Zeichenfolge, dass es drei verschiedene Rechte gibt, die sich auf Ereignisprotokolle beziehen: Lesen, Schreiben und Löschen. Diese Rechte entsprechen den folgenden Bits im Feld für die Zugriffsrechte der ACE-Zeichenfolge:

    • 1= Lesen

    • 2 = Schreiben

    • 4 = Löschen

    Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, um die SDDL-Zeichenfolge für ein Protokoll anzuzeigen:

    wevtutil gl <LogName>
    Im folgenden Beispiel wird veranschaulicht, wie Sie dem Anwendungsprotokoll die Berechtigung Löschen für die Sicherungsoperatorengruppe (A;;0x4;;;BO) hinzufügen können:

    wevtutil sl Application /ca:O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)(A;;0x4;;;BO)

Weitere Verweise

Inhaltsverzeichnis