事件查看器usb事件日志截图:
当我右键单击其他事件日志(例如 AMSI/Operational)时,我看到了“禁用/启用”选项,但是当我右键单击有关 USB 的事件日志时,在屏幕截图中以红色框出,我没有看到任何禁用或启用日志的选项。此外,我很好奇这些日志存在的确切位置 - 就像在 windows 目录中一样。我知道 .evtx 事件日志本身存在于 c:\windows\system32\winevt 中,但我也想更深入地了解日志的实际位置,例如红色框内的日志。我的最终目标是禁用与 USB 配置相关的事件日志,并能够使用 cmd 命令删除它们,这样它们就不会重新出现在事件查看器中。我知道当我右键单击日志时有一个删除按钮,但如果我能理解实际日志存在于 Windows 中的哪个位置,那就太好了,这样我就可以使用 cmd 命令或脚本将其删除。任何帮助表示赞赏。