Event.Logs

[minien]

Hallo, ich bin echt am verzweifeln.
Ich will unter system32 winevt/Logs einges löschen aber ich bekomme einfach kein Zugriff.
Weil es spezielle Berechtigung erfodert.
Auch über Ereignisanzeige kann ich zwar dieiese eine Datei reinholen und löschen.
Aber er löscht sie im Orden einfach nicht.
Da gibt es zig Vorschläge wie es funktionieren soll doch nichts hat funktioniert.
Auch diese mit CMD hat auch nicht funktioniert zugriff verweigert.:
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
Weiß jemand der wirklich Ahnung davon hat, wie ich die Löschen kann?
Bin für jede Hilfe dankbar.

[Tante Google]

[DK2000]

Sind eigentlich nur zwei, welche sich mit Adminrechten nicht leeren lassen:

"Microsoft-Windows-LiveId/Analytic"
"Microsoft-Windows-LiveId/Operational"

Oder hast Du da mehr?

Müsste man dann wohl mit NSudo oder vergleichbarem Tool die Batch mit System- order Trustedinstaller-Rechten laufen lassen. Aber nie versucht, weil die beiden mich nicht stören.

Aber warum willst Du die Dateien an sich löschen? Die Ereignisanzeige generiert die doch wieder neu. "wevtutil.exe cl" löscht ja auch nicht die Dateien, sondern leert bloß alle Einpräge in den Dateien.

Aber gerade mal getestet. Den Dienst "Windows-Ereignisprotokoll" gestoppt und ganz normal alle Dateien mit Adminrechten gelöscht bekommen.

Code: Alles auswählen

net stop EventLog
del "C:\Windows\System32\winevt\Logs\*.*"

Und der Ordner war leer. Füllt sich aber wieder, sobald man den Dienst und die Ereignisanzeige wieder startet.

Getestet mit Windows 11 22H2 (22621.2134)

[Manu]

Oder im Taskmanager Windows-Ereignisprotokoll beenden und einzelne Einträge löschen. Aber wie @DK2000 schrieb, warum?

[minien]

Hat bei mir nicht funktioniert.getestet.

Unbenannt-5.jpg

Unbenannt-3.jpg

[minien]

Oder im Taskmanager Windows-Ereignisprotokoll beenden und einzelne Einträge auch ohne Admin löschen. Aber wie @DK2000 schrieb, warum?

Das habe ich versucht den einen Eintrag im Ereignisprotokoll habe ich da reingeholt und auch gelöscht.
Doch als danach ins winevt logs geschaut habe war er immer noch drin.

[minien]

Übrigens wie hast du den Dienst gestoppt?
Kannst du das mal genau erklären?
Danke dir!

[DK2000]

Hätte ich vielleicht etwas ausführlicher schreiben sollen.

Code: Alles auswählen

net stop EventLog

Warten, bis der Dienst beendet wurde erst jetzt eingeben

Code: Alles auswählen

del "C:\Windows\System32\winevt\Logs\*.*"

es dauert ein wenig, bis der Dienst beendet wird.

Screenshot 2023-08-18 003532.png

Was mich bei Dir aber wundert, sind die Abhängigkeiten von der Ereignisanzeige. Die habe ich bei mir nicht. Könnte aber damit zusammenhängen, dass ich keine "Ereignissammlungen" eingerichtet habe und dieses "Microsoft Update Health Tools" zwar installiert sind, aber deaktiviert. Aber sollten auch nicht stören, da die dann mit beendet werden. Dauert dann halt nur länger, bis alle drei Dienste beendet wurden.

[Manu]

Das habe ich versucht den einen Eintrag im Ereignisprotokoll habe ich da reingeholt und auch gelöscht.
Doch als danach ins winevt logs geschaut habe war er immer noch drin.

Im Taskmanager Windows-Ereignisprotokoll beenden und einzelne Einträge in winevt logs löschen.

[minien]

Weißnicht was bei mir nicht stimmt.
Hier mal die Ausgabe von dem Befehl:
Microsoft Windows [Version 10.0.22621.2134]
(c) Microsoft Corporation. Alle Rechte vorbehalten.

C:\Windows\System32>net stop EventLog
Windows-Ereignisprotokoll ist nicht gestartet.

Sie erhalten weitere Hilfe, wenn Sie NET HELPMSG 3521 eingeben.

C:\Windows\System32>

-------------------------------------------
C:\Windows\System32>net stop EventLog
Der Dienst wird gerade gestartet oder beendet. Versuchen Sie es später erneut.


C:\Windows\System32>

-----------------------------------------------------------
C:\Windows\System32\winevt\Logs\Setup.evtx
Zugriff verweigert
C:\Windows\System32\winevt\Logs\SMSApi.evtx
Zugriff verweigert
C:\Windows\System32\winevt\Logs\State.evtx
Zugriff verweigert
C:\Windows\System32\winevt\Logs\System.evtx
Zugriff verweigert
C:\Windows\System32\winevt\Logs\Windows PowerShell.evtx
Zugriff verweigert

C:\Windows\System32>

[minien]

Wenn ich nun auf Ereignisanzeige gehe bekomme ich diese Meldung:
Der Ereignisprotokolldienst ist nicht verfügbar überprüfen sie ob der Dienst ausgeführt wird.
Also wo genau ist der Dienst unter Dienste habe ich nach gesehen Windows Ereignisprotokoll und Windows Ereignissammlung ist Autom.

Dienst.jpg

[DK2000]

Der kann nur starten, wenn der Dienst "Windows-Ereignisprotokoll" läuft. Ansonsten kann er nichts laufen.

Starte erst "Windows-Ereignisprotokoll", danach sollte sich "Windows-Ereignissammlung" auch starten lassen.

[minien]

Ja das habe ich versucht Fehler 1068 der Ahängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.
Der Startyp steh auf Manuell.

[DK2000]

Irgendetwas essentielles an den Diensten verändert? Sollte funktionieren.

Ereignisanzeige funktioniert?

[minien88]

Sorry, ich hatte Probleme mit dem Login und musste mich nun neu Registrieren unter minien88.
Mein prblem besteht leider weiterhin.
Ich hatte nur die Empfohlene Batch Dateien genutzt danach geht nun nichts mehr mit Ereignisanzeige.
Und 2 sachen in den diensten deaktiviert:

Dienste.jpg

Dienst.jpg

[Manu]

1. Windows-Ereignisprotokoll auf Automatisch
2. Windows-Ereignissammlung auf Manuell

"C:\Windows\System32\LogFiles\WMI\RtBackup"

"RtBackup" löschen oder umbenennen.
Das funktioniert entweder über WinPE (löschen) oder mit Unlocker (umbenennen).

https://unlocker.de.softonic.com/

Nach einem Neustart wird der "RtBackup"-Ordner mit den richtigen Berechtigungen neu erstellt.