Как отключить журнал событий Windows 11 и Windows 10

В процессе работы Windows постоянно ведёт запись различных системных событий в файлы журналов, которые можно просмотреть с помощью утилиты «Просмотр событий». Сами по себе журналы не занимают много места на диске, но общее количество операций записи на продолжительном отрезке времени значительно и потенциально может влиять на общий ресурс дисков, особенно SSD. При желании, запись событий в журнал можно отключить.

В этой инструкции подробно о способах отключить журнал событий полностью или частично для отдельных событий, очистить его и дополнительная информация, которая может быть полезной.

Отключение службы «Журнал событий Windows»

Самый очевидный и простой способ отключить журнал событий — отключение соответствующей службы, однако у этого способа есть минусы:

• От указанной службы зависят и другие службы, в частности могут возникнуть проблемы с работой планировщика заданий, службами сведений о подключенных сетях, списка сетей и автоматической настройки сетевых устройств.
• Полное отключение журнала событий может быть не лучшим вариантом: собираемые в журналах сведения о сбоях могут быть полезными для диагностики проблем с работой системы.

Список зависимостей службы отличается в разных версиях Windows: в Windows 11 проблем после отключения службы «Журнал событий» вы вероятнее всего не заметите, а в Windows 10 они могут быть.

Для того, чтобы отключить службу «Журнал событий Windows» (чего я не рекомендую) вы можете использовать оснастку «Службы»:

1. Нажмите клавиши Win+R на клавиатуре, введите services.msc и нажмите Enter.
2. В списке служб найдите «Журнал событий Windows» и дважды нажмите по этой службе.
3. Нажмите кнопку «Остановить», измените тип запуска на «Отключена» и нажмите «Ок».

Ещё один способ — запустить командную строку от имени администратора и по порядку использовать следующие команды:

net stop eventlog
sc config eventlog start= disabled

Это полностью отключит ведение журнала событий, но, при возникновении проблем с работой других системных служб не забудьте, что, возможно, они были вызваны описанными действиями.

Отключение записи отдельных событий или выбранных журналов

Вместо отключения журнала событий полностью, вы можете отключить запись лишь отдельных событий — тех, которые записываются чаще всего, при этом не несут полезной информации для большинства пользователей.

Прежде всего — это события «Аудит успеха» в журнале «Безопасность». Для отключения записи этих событий в командной строке от имени администратора используйте одну из следующих команд (первая — для русскоязычной версии Windows, вторая — для англоязычной или переведенной на русский язык путем установки языкового пакета):

auditpol /set /subcategory:"Подключение платформы фильтрации" /success:disable /failure:enable
auditpol /set /subcategory:"Filtering Platform Connection" /success:disable /failure:enable

Указанные команды отключат запись событий типа «Успех», но оставят запись событий «Отказ». Аналогичным образом возможно отключение событий других подкатегорий, полный список подкатегорий можно получить с помощью команды auditpol /list /subcategory:*

Следующая возможность — отключение записи определенных событий по их GUID, шаги будут следующими (пример для журнала «Система»):

1. В просмотре событий (Win+R — eventvwr.msc) найдите событие, запись которых нужно отключить, на вкладке «Подробности» включите режим XML, здесь нам потребуется значение параметра GUID.
2. В редакторе реестра (Win+R — regedit) перейдите к разделу

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System

3. В этом разделе выберите подраздел с именем, совпадающим с GUID из первого шага, дважды нажмите по параметру с именем Enabled и установите значение 0 для него, повторите то же самое для параметра EnableProperty
4. Закройте редактор реестра и перезагрузите компьютер.

И ещё один метод для журналов приложений, на примере журнала WFP (который у многих пользователей постоянно пишется с большой интенсивностью):

1. В Просмотре событий откройте «Журналы приложений» и перейдите к нужному журналу, например: Microsoft — Windows — WFP — Operational
2. Нажмите правой кнопкой мыши по журналу и выберите пункт «Отключить журнал».

Отдельно по журналу wfpdiag.etl: ещё одна возможность отключения — команда

netsh wfp set options netevents = off

Очистка журнала событий

Файлы журналов событий располагаются в папках

C:\Windows\System32\winevt\Logs
C:\Windows\System32\LogFiles

И некоторых других расположениях, например — C:\ProgramData\Microsoft\Windows\wfp\

Очистка вручную путем удаления файлов нежелательна и не всегда удобна. Вы можете:

1. Использовать опцию «Очистить журнал» для соответствующего журнала в «Просмотре событий» в контекстном меню журнала или его свойствах.
2. Использовать одну из команд (первая — для командной строки, вторая — для PowerShell, в обоих случаях требуется запуск от имени администратора):

   for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
   Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }

Если остаются вопросы по журналам событий в Windows, задавайте их в комментариях — не исключено что я или кто-то из читателей сможет подсказать.