注册表所在项目:
[HKLM]\system\CurrentControlSet\Services\Eventlog
Schedluler服务注册表所在项目:
[HKLM]\SOFTWARE\Microsoft\SchedulingAgent
如果日志被从新定位,路径在注册表里面有记录.
清除日志
清除日志必须先停掉相关的服务后才能进行:
www和ftp日志必须想停w3svc: net stop w3svc
然后就可在相关日志目录下面把你想要删除的日志删除.
Scheduler服务日志必须想停止:Task Scheduler服务才能删除日志: net stop "Task Scheduler"
系统,安全,应用程序等日志相关的服务是:Eventlog,但是该项目是无法直接停止的,我们可以先用ipc$连接过去,然后打开"控制面板"中的计算机管理中连接远程计算机,从里面删除相关的内容,但是如果日记比较多的话,可能需要比较多的时间,而且对网速要求比较高.但是,我们可以利用一个工具:小榕的elsave来删除.方法如上面第一项.
也可以利用小榕写的一个工具:CleanIISLog来自动清除日志,用法:
cleaniislog [logfile] [.] [cleanIP] .
说明: 清除的日志文件,.代表所有 清除的日志中哪个IP地址的记录,.代表所有IP记录
举例:cleaniislog . 127.0.0.1
A.可以清除指定的的IP连接记录,保留其他IP记录。
B.当清除成功后,CleanIISLog会在系统日志中将本身的运行记录清除。
用法: CleanIISLog <.> <.>
: 指定要处理的日志文件,如果指定为“.”,则处理所有的日志文件注意:处理所有日志文件需要很长的时间)。
: 指定要清除的IP记录,如果指定为“.”,则清除所有的IP记录(不推荐这样做)。
CleanIISLog只能在本地运行,而且必须具有Administrators权限。
