Início / computer / Perguntas / 1516725
Accepted
jw_
Asked: 2020-01-13 17:04:44 +0800 CST

Como desativar o log do sistema do Windows 10

  • 772

No Monitor de recursos do Windows 10, descobri que o processo do sistema está constantemente gravando C:\ProgramData\Microsoft\Windows\wfp\wfpdiag.etl em cerca de 30-100 KB/s. Isso equivale a 1 TB de gravação/ano, o que não é saudável para o SSD. Existem outras gravações de log como C:\Windows\System32\LogFiles*** também.

Embora os logs sejam necessários para diagnósticos, é melhor ativá-los somente quando o problema já tiver ocorrido.

É possível desabilitar o máximo possível de logs do sistema para diminuir a gravação de lixo no SSD?

windows-10 event-log

6 respostas

  1. Best Answer

    Por padrão, o Windows possui um grande número de arquivos de log, gravando dados constantemente.

    Duas maneiras de parar um pouco dessa agitação:

    Pare de registrar "Sucesso na Auditoria" na Plataforma de Filtragem do Windows (WFP) , registre apenas "Falha na Auditoria"

    • Abra o prompt do CMD como Administrador: Pressione Windows, digite cmd, pressione Ctrl+ Shift+ Entere confirme.
    • Digite (ou copie/cole) o seguinte e pressione Enter: auditpol /set /subcategory:"Filtering Platform Connection" /success:disable /failure:enable

    Se for bem-sucedido, espere que menos eventos sejam registrados.

    Desabilitar logs individuais Visualizador de Eventos do Windows

    • Abra o Windows Event Viewer: pressione WindowsR, digite eventvwr.msce pressione Enter.
    • Role para baixo até Application and Service Logs, Microsoft, Windows, WFP.
    • Clique com o botão direito do mouse em um processo de registro e selecione Disable Log.

    Uma ferramenta útil para pesquisar os logs de eventos por nome é a Visualização completa do log de eventos da Nirsoft . Exibição completa do registro de eventos da Nirsoft

    • 29

  2. Tornando -se hardcore :

    Se você deseja desabilitar o log de eventos específico, vá para Visualizador de eventos e clique com o botão direito do mouse em um log de eventos do qual deseja se livrar. Clique em Event Properties.

    Uma nova janela deve abrir - clique em XML view, onde você poderá ver o GUID do evento. Tentaremos localizar o serviço de log de eventos no registro com base nesse GUID. Nem todos os eventos têm esse GUID e não poderemos encontrar todos os GUID no registro.

    Propriedades do evento

    Depois de termos nosso GUID, navegamos para HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Systemin regedite procuramos nosso GUID dentro de colchetes.

    Se o encontrarmos, podemos alterar as chaves Enabled e EnabledProperty:

    "Enabled"=dword:0
"EnableProperty"=dword:0

    Edição do registro

    • 2

  3. Acho que descobri como fazer com que o NetCore.etl seja gravado no disco rígido em vez do ssd . Executei o Monitor de desempenho (um aplicativo do Windows), fiz uma busca detalhada em Conjuntos de coletores de dados | Sessões de Rastreamento de Eventos, clique com o botão direito do mouse em NetCore, clique em Propriedades no menu que apareceu, clique na guia Diretório e navegue até a pasta desejada. O tempo dirá se a alteração é permanente, mas no momento o log está sendo gravado no meu disco rígido E:, de acordo com o Monitor de Recursos.

    Se alguém desejasse interromper totalmente a gravação de NetCore.etl, clicar em Parar em vez de Propriedades presumivelmente o interromperia . Mas estou menos confiante de que essa mudança seria permanente. Algum aplicativo pode reiniciá-lo, talvez na próxima vez que o Windows for reiniciado. Se alguém tentar isso, espero que poste o resultado neste tópico.

    Vários outros arquivos de log podem ser redirecionados (ou interrompidos) de maneira semelhante.

    • 1

  4. Ré. a postagem original: o log de eventos do Windows realmente grava uma enorme quantidade de dados no disco ao longo do tempo; e há muitos casos de uso em que isso é muito indesejável; como sistemas embarcados que não podem ser atendidos e o desgaste do disco é uma preocupação e os recursos são escassos, portanto, é desejável reduzir todas as entradas/saídas desnecessárias o máximo possível.

    Há também casos de uso do usuário em que nenhum controle sobre o registro de eventos do Windows é típico da Microsoft, design hostil ao usuário , pois não há mais nenhum método simples de suspender o registro quando não é necessário, desejado e, na verdade, é uma responsabilidade. Houve muitas tentativas tortuosas, como esta por meio da suspensão de threads , mas nenhuma funciona de maneira confiável simplesmente para suspender o Log de Eventos do Windows.

    Uma abordagem que pode funcionar para alguns que desejam apenas reduzir o desgaste do disco é usar o Windows UWF ou Unified Write Filter redirecionando para um pequeno disco RAM, mas para fazer isso funcionar em qualquer aplicativo de computação de uso geral, você editará uma extensa lista de exclusão - - que é demorado e complicado, e novamente de acordo com a experiência hostil do usuário da Microsoft .

    A Microsoft permanece completamente surda neste assunto, ou é completamente indiferente; Os desenvolvedores obtêm a mesma resposta enlatada de ' faça um ótimo dia ' para os usuários. Portanto, qualquer hack barato e sujo que alguém encontrar seria muito bem-vindo e apreciado.

    • 0

  5. Método 1) NÃO RECOMENDADO: Desabilite o serviço "Log de eventos do Windows" e reinicie. Mas no win7 desabilitará o TaskScheduler (e o disco de desfragmentação). O pior no win10 desabilitará a lista de rede e a configuração automática de dispositivos.

    Método 2) Execute este lote como administrador:

          rem https://docs.microsoft.com/en-us/windows/win32/fwp/auditing-and-logging
      rem https://social.technet.microsoft.com/Forums/en-US/ec2b033f-3e9b-4727-88d2-e6e358393734/how-to-disable-stop-windows-filtering-platform-filtering-platform-packet-drop
      rem  ALL
    Auditpol /set /category:* /Success:disable /failure:disable
      rem FIREWALL
    auditpol /set /subcategory:"Filtering Platform Policy Change" /success:disable /failure:disable
    auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:disable /failure:disable
    auditpol /set /subcategory:"Filtering Platform Connection" /success:disable /failure:disable
    auditpol /set /subcategory:"Other Object Access Events" /success:disable /failure:disable
    auditpol /set /subcategory:"IPsec Main Mode" /success:disable /failure:disable
    auditpol /set /subcategory:"IPsec Quick Mode" /success:disable /failure:disable
    auditpol /set /subcategory:"IPsec Extended Mode" /success:disable /failure:disable
    auditpol /set /subcategory:"IPsec Driver" /success:disable /failure:disable
      rem https://thesystemengineers.wordpress.com/2014/05/08/the-best-advanced-audit-script-and-advanced-audit-policy-i-use/
      rem http://www.ultimatewindowssecurity.com/wiki/WindowsSecuritySettings/Recommended-Baseline-Audit-Policy-for-Windows-Server-2008
    auditpol /set /subcategory:"DPAPI Activity" /success:disable /failure:disable
    auditpol /set /subcategory:"Detailed Directory Service Replication" /success:disable /failure:disable
    auditpol /set /subcategory:"Directory Service Replication" /success:disable /failure:disable
    auditpol /set /subcategory:"Handle Manipulation" /success:disable /failure:disable
    auditpol /set /subcategory:"MPSSVC Rule-Level Policy Change" /success:disable /failure:disable
    auditpol /set /subcategory:"Non Sensitive Privilege Use" /success:disable /failure:disable
    auditpol /set /subcategory:"Other Policy Change Events" /success:disable /failure:enable
    auditpol /set /subcategory:"Other Privilege Use Events" /success:disable /failure:disable
    auditpol /set /subcategory:"SAM" /success:disable /failure:disable
    auditpol /set /subcategory:"Sensitive Privilege Use" /success:disable /failure:disable
      rem may be enabled on failure
    auditpol /set /subcategory:"Other System Events" /success:disable /failure:disable
      rem Usually all enabled
    auditpol /set /subcategory:"Account Lockout" /success:disable /failure:disable
    auditpol /set /subcategory:"Application Generated" /success:disable /failure:disable
    auditpol /set /subcategory:"Application Group Management" /success:disable /failure:disable
    auditpol /set /subcategory:"Audit Policy Change" /success:disable /failure:disable
    auditpol /set /subcategory:"Authentication Policy Change" /success:disable /failure:disable
    auditpol /set /subcategory:"Authorization Policy Change" /success:disable /failure:disable
    auditpol /set /subcategory:"Certification Services" /success:disable /failure:disable
    auditpol /set /subcategory:"Computer Account Management" /success:disable /failure:disable
    auditpol /set /subcategory:"Credential Validation" /success:disable /failure:disable
    auditpol /set /subcategory:"Directory Service Access" /success:disable /failure:disable
    auditpol /set /subcategory:"Directory Service Changes" /success:disable /failure:disable
    auditpol /set /subcategory:"Distribution Group Management" /success:disable /failure:disable
    auditpol /set /subcategory:"File Share" /success:disable /failure:disable
    auditpol /set /subcategory:"File System" /success:disable /failure:disable
    auditpol /set /subcategory:"Kerberos Authentication Service" /success:disable /failure:disable
    auditpol /set /subcategory:"Kerberos Service Ticket Operations" /success:disable /failure:disable
    auditpol /set /subcategory:"Kernel Object" /success:disable /failure:disable
    auditpol /set /subcategory:"Logoff" /success:disable /failure:disable
    auditpol /set /subcategory:"Logon" /success:disable /failure:disable
    auditpol /set /subcategory:"Network Policy Server" /success:disable /failure:disable
    auditpol /set /subcategory:"Other Account Logon Events" /success:disable /failure:disable
    auditpol /set /subcategory:"Other Account Management Events" /success:disable /failure:disable
    auditpol /set /subcategory:"Other Logon/Logoff Events" /success:disable /failure:disable
    auditpol /set /subcategory:"Process Creation" /success:disable /failure:disable
    auditpol /set /subcategory:"Process Termination" /success:disable /failure:disable
    auditpol /set /subcategory:"RPC Events" /success:disable /failure:disable
    auditpol /set /subcategory:"Registry" /success:disable /failure:disable
    auditpol /set /subcategory:"Security Group Management" /success:disable /failure:disable
    auditpol /set /subcategory:"Security State Change" /success:disable /failure:disable
    auditpol /set /subcategory:"Security System Extension" /success:disable /failure:disable
    auditpol /set /subcategory:"Special Logon" /success:disable /failure:disable
    auditpol /set /subcategory:"System Integrity" /success:disable /failure:disable
    auditpol /set /subcategory:"User Account Management" /success:disable /failure:disable
      rem Apply immediatly
    gpupdate /force

    Método 3) Crie a pasta C:\TEMP
    Abra o regedit. Navegue e coloque o seletor nesta ramificação HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger
    Clique com o botão direito e exporte a ramificação selecionada para C:\TEMP\WMI_backup.reg (manterá isso como backup) Clique com o botão direito e exporte a ramificação selecionada para C: \TEMP\WMI_disable.reg, feche o regedit Abra C:\TEMP\WMI_disable.reg com o editor TEXTPAD:

      Search and Replace, enable Regular Expressions, SEARCH:
^(?!("Enabled"|"EnableProperty"|\[|\n|Windows)).+\n
  Replace with:
(empty)
  REPLACE ALL
  Second Search and replace, Search:
dword:.+
  Replace with:
dword:00000000
  REPLACE ALL
  Third (optional) Search and replace, Search:
(^\[.*(?:\n*\h*)*)+(^\[.*)
  Replace with:
$+
  REPLACE ALL
  Save and exit.

    Aplique .REG gerado, algumas chaves não serão aplicadas a menos que sejam inseridas como usuário do sistema com nirsoft advancedrun:

    AdvancedRun_x64.exe /EXEFilename "%windir%\regedit.exe" /CommandLine "c:\TEMP\WMI_disable.reg" /RunAs 8 /Run

    Explicação da substituição: A primeira eliminará todas as linhas que não comecem com uma destas: [; "Habilitado"; "HabilitarPropriedade"; Janelas; (vazio)

    A segunda pesquisa alterará todos os Execute dword:xxxxxxxx restantes para dword:00000000

    Terceiro (limpeza opcional) pesquisa linhas consucutivas começando com [... e deixe a última

    Método 4) Faça tudo igual ao Método 3, mas com a chave: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT]

    Método 5) Aplique este arquivo .REG para desativar parte do log, não redefina o START de: EventLog-Application, EventLog-Security, EventLog-System

        Windows Registry Editor Version 5.00

    ;* no autolog
    ; https://www.reddit.com/r/Windows10/comments/8lpttt/howto_make_w10_log_less_prune_the_amount_of/
    ; https://gist.github.com/FadeMind/9500d49948654b50aa870706a8ac9f04
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\AITEventLog]
    ; Disables Event Trace Session in Perfmon Data Collector Sets
    "Start"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\AppModel]
    ;+ Disables Event Trace Session in Perfmon Data Collector Sets
    "Start"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\AppPlat]
    ;+ Disables Event Trace Session in Perfmon Data Collector Sets
    "Start"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\Audio]
    ; Disables Event Trace Session in Perfmon Data Collector Sets
    "Start"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\AutoLogger-Diagtrack-Listener]
    ;* Disables %systemroot%\System32\LogFiles\WMI\Diagtrack-Listener.etl
    "Start"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\Circular Kernel Context Logger]
    ; Disables Event Trace Session in Perfmon Data Collector Sets
    "Start"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\AutoLogger\DefenderApiLogger]
    ;+ Disables Event Trace Session in Perfmon Data Collector Sets
    "Start"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\AutoLogger\DiagLog]
    ; Disables Event Trace Session in Perfmon Data Collector Sets
    "Start"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\AutoLogger\DefenderAuditLogger]
    ;+ Disables Event Trace Session in Perfmon Data Collector Sets
    "Start"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\FamilySafetyAOT]
    ;+ Disables Event Trace Session in Perfmon Data Collector Sets
    "Start"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\LwtNetLog]
    ;+ Disables Event Trace Session in Perfmon Data Collector Sets
    "Start"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\NtfsLog]
    ; Disables Event Trace Session in Perfmon Data Collector Sets
    "Start"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\RadioMgr]
    ;* Disables %SystemRoot%\System32\LogFiles\WMI\RadioMgr.etl
    "Start"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\ReadyBoot]
    ; Disables Event Trace Session in Perfmon Data Collector Sets
    "Start"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\SQMLogger]
    ; Disables Event Trace Session in Perfmon Data Collector Sets
    "Start"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\UBPM]
    "Start"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\WdiContextLog]
    ; Disables Event Trace Session in Perfmon Data Collector Sets
    "Start"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\AutoLogger\WiFiSession]
    ;+ Disables Event Trace Session in Perfmon Data Collector Sets
    "Start"=dword:00000000
    • 0

  6. obrigado a outros por informações úteis, criei um script em lote para desabilitar quase todos os logs.

    Note 1: Gaming service tracing logs needed for Xbox app, so its not included in my script, if you dont use Xbox app simply uninstall it or disable Gaming service and reboot to disable such tracing.

    Note 2: UBPM tracing wont disable even if you disable related event logs registry (included in my script). i heard that its bonded into kernel.

    Note 3: Script must run as Trustedinstaller to works correctly, otherwise accessing to some keys denied. if you have Nsudo path in your system environment variable, the script runs itself as Trustedinstaller using Nsudo, otherwise you need to manually run script with Nsudo or AdvancedRun or etc as Trustedinstaller.

    here is my script for auto find all loggers in registry and disable them (i separated it into 2 parts to make it easier to understand, if you have Nsudo, merge 2 parts into one batch file, otherwise you need to run Part 2 as Trustedinstaller manually):

    Part 1) check and run itself as Trustedinstaller

    @echo off
setlocal & set runState=user
whoami /groups | findstr /b /c:"Mandatory Label\High Mandatory Level" > nul && set runState=administrator
whoami /groups | findstr /b /c:"Mandatory Label\System Mandatory Level" > nul && set runState=TISYSTEM
echo [42m Running in state: "%runState%" [0m
if "%runState%"=="TISYSTEM" (goto gotTISYSTEM) else (NSudoLG.exe -U:T -P:E -UseCurrentConsole "%~0" %* && exit /b)
:gotTISYSTEM
echo [42m Running as TtustesInstaller.[0m

    Part 2) got Trustedinstaller privileges (main job)

    @echo off
echo [33m Auto-find and Disable all WMI\AutoLogger [0m
echo [33m find all Auto-Loggers and set Enabled to 0[0m
for /f "usebackq tokens=1*" %%a in (`reg query "HKLM\SYSTEM\CurrentControlSet\Control\WMI\AutoLogger" /s /f "Enabled"^| findstr "HKEY"`) do reg add "%%a %%b" /v "Enabled" /t REG_DWORD /d 0 /f
echo.
echo [33m find all Auto-Loggers and set Start to 0[0m
for /f "usebackq tokens=1*" %%a in (`reg query "HKLM\SYSTEM\CurrentControlSet\Control\WMI\AutoLogger" /s /f "Start"^| findstr "HKEY"`) do reg add "%%a %%b" /v "Start" /t REG_DWORD /d 0 /f
echo.
echo.
echo.
echo [33m Auto-find and Disable all WINEVT [0m
echo [33m find all WINEVT items and set Enabled to 0[0m
for /f "usebackq tokens=1*" %%a in (`reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT" /s /f "Enabled"^| findstr "HKEY"`) do reg add "%%a %%b" /v "Enabled" /t REG_DWORD /d 0 /f
echo.
pause
exit

    Extra step: some loggings arennt related to windows (like .Net apps that create some logs into C:\USERS\Your_User_Name\APPDATA\LOCAL\MICROSOFT\CLR_V4.0\USAGELOGS), how we stop such thing? answer: by fooling windows, i learned it from someone in Ntlite forum, just delete that folder (for example USAGELOGS), then create new text document but without extension and then rename it to that folder name, windows thinks that folder is existed so prevents you and apps from creating new folder with that name so apps cant create logs into that folder :)

    im trying to create a script for this part too, i will update my post when it's ready.

    Update1 : Use o novo script aqui para evitar problemas que quebram o adaptador de rede Ethernet quando você o desabilita/habilita. Se você não usar Ethernet ou não desativá-lo (sempre ligado), ainda poderá usar o script antigo para suprimir ainda mais os loggers.

    • 0

relate perguntas