事件查看器usb事件日志截图:
当我右键单击其他事件日志(例如 AMSI/Operational)时,我看到了“禁用/启用”选项,但是当我右键单击有关 USB 的事件日志时,在屏幕截图中以红色框出,我没有看到任何禁用或启用日志的选项。此外,我很好奇这些日志存在的确切位置 - 就像在 windows 目录中一样。我知道 .evtx 事件日志本身存在于 c:\windows\system32\winevt 中,但我也想更深入地了解日志的实际位置,例如红色框内的日志。我的最终目标是禁用与 USB 配置相关的事件日志,并能够使用 cmd 命令删除它们,这样它们就不会重新出现在事件查看器中。我知道当我右键单击日志时有一个删除按钮,但如果我能理解实际日志存在于 Windows 中的哪个位置,那就太好了,这样我就可以使用 cmd 命令或脚本将其删除。任何帮助表示赞赏。
您不是在查看事件日志。你正在看一个视图。它不包含事件,而仅包含过滤器定义。它们保存在以下位置:
查看事件时,您可以看到它来自哪个日志。在您的屏幕截图中,这是
Microsoft-Windows-Kernel-PnP/Configuration.如果您然后转到此日志(在所有其他日志所在的“应用程序和服务日志”下),您可以像往常一样在属性窗口中看到它的位置:
您也可以禁用它等等。
您拥有的视图默认不存在。它们是在您单击设备管理器中设备属性窗口上的“查看所有事件...”时创建的。