事件查看器 USB 事件日志的屏幕截图:
当我右键单击其他事件日志(例如 AMSI/Operational)时,我会看到“禁用/启用”选项,但是当我右键单击有关 usb 的事件日志(在屏幕截图中用红色框出)时,我看不到任何禁用或启用日志的选项。此外,我很好奇这些日志究竟在哪里(例如在 windows 目录中)。我知道 .evtx 事件日志本身存在于 c:\windows\system32\winevt 中,但我也想更深入了解红色框出日志的实际位置。我的最终目标是禁用与 usb 配置相关的事件日志,并能够使用 cmd 命令删除它们,以便它们不会重新出现在事件查看器中。我知道右键单击日志时有一个删除按钮,但如果我能了解 windows 中实际日志存在的位置,那就太好了,这样我就可以使用 cmd 命令或脚本将其删除。任何帮助都感激不尽。
答案1
你不是在看事件日志。你正在看的是看法。它不包含事件,而只包含过滤器定义。它们保存在以下位置:
C:\ProgramData\Microsoft\Event Viewer\Views
查看事件时,您可以看到它来自哪个日志。在您的屏幕截图中,它是Microsoft-Windows-Kernel-PnP/Configuration。
如果您随后转到该日志(在所有其他日志所在的“应用程序和服务日志”下),您可以在属性窗口中照常看到它的位置:
%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Kernel-PnP%4Configuration.evtx
您还可以禁用它等等。
默认情况下,您拥有的视图并不存在。当您在设备管理器的设备属性窗口中单击“查看所有事件...”时,将创建这些视图。