Мануал/Книга Удаление логов на windows дедике

[peacemaker]

Как бы мы не сидели на сторонних серверах, через прокси, торы и впны. Логирование нужно убирать и удалять логи. Чтобы усложнить работу по ту сторону экрана людям. Тут два способа. Вообще удалить сервисы логирования. Или чистить их скриптами. Вот поговорим о втором варианте.

Конечно, очистку системных журналов, можно выполнить и из графической оснастки просмотра событий — Eventvwr.msc (ПКМ по нужному журналу ->Clear Log), однако начиная с Vista, в Windows используется несколько десятков журналов для различных компонентов системы, и очищать их все из консоли Event Viewer будет довольно утомительно. Гораздо проще очистить логи из командной строки: с помощью PowerShell или встроенной утилиты wevtutil.

Очистка журналов событий с помощью PowerShell
В том случае, если у вас установлен PowerShell 3 (по умолчанию уже установлен в Windows 8 / Windows Server 2012 и выше), для получения списка журналов и их очистки можно воспользоваться командлетами Get-EventLog и Clear-EventLog.

Запустите консоль PowerShell с правами администратора и с помощью следующей команды выведите список всех имеющихся в системе классических журналов событий с их максимальными размерами и количеством событий в них.

Get-EventLog –LogName *

Для удаления всех событий из конкретного журнала событий (например, журнала System), воспользуйтесь командой:

Clear-EventLog –LogName System

В результате, все события из этого журнала будут удалены, а в журнале события останется только одно событие EventId 104 с текстом «The System log file was cleared».

Для очистки всех журналов событий нужно бы перенаправить имена журналов в конвейер, однако, к сожалению это запрещено. Поэтому нам придется воспользоваться циклом ForEach:

Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }

Таким образом, будут очищены все классические журналы EventLogs.

Очистка журналов с помощью консольной утилиты WevtUtil.exe
Для работы с событиями в Windows уже довольно давно имеется в наличии мощная утилита командой строки WevtUtil.exe. Ее синтаксис немного сложновато на первый взгляд. Вот, к примеру, что возвращает help утилиты:

Чтобы вывести список зарегистрированных в системе журналов событий, выполните команду:

WevtUtil enum-logs

или более короткий вариант:

WevtUtil el

На экране отобразится довольно внушительный список имеющихся журналов.

Можно получить более подробную информацию по конкретному журналу:

WevtUtil gl Setup

Очистка событий в конкретном журнале выполняется так:

WevtUtil cl Setup

Перед очисткой можно создать резервную копию событий в журнале, сохранив их в файл:

WevtUtil cl Setup /bu:SetupLog_Bak.evtx

Чтобы очистить сразу все журналы, можно воспользоваться командлетом Powershell Get—WinEvent для получения всех объектов журналов и Wevtutil.exe для их очистки:

Get-WinEvent -ListLog * -Force | % { Wevtutil.exe cl $_.LogName }

или так

Wevtutil el | ForEach { wevtutil cl “$_”}

Очистка журналов может быть выполнена и из классической командной строки:

for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"

Но руками делать же это все утомительно. Мы можем собрать команды в скрипт и создать планировщик задача, время выполнения которого к примеру каждые 5 минут. И теперь у нас на сервере нет логов.

P.S. Взято и отредактировано с winitpro.ru

 

[macgregory]

Спасибо, доступно и просто. А я ссклинером всегда пользовался, явно он всего этого не делал.

 

[hackhack]

udalyaet bez obfuskacii tolko nub

 

[peacemaker]

udalyaet bez obfuskacii tolko nub

Обфускации чего?

 

[hackhack]

Обфускации чего?

udaleniya, ya ispolzyu shred ili bleachbit dlya udaleniya /var/log i .bash_history na linuxe, windu poka ne uzal

 

[Benihowy]

udalyaet bez obfuskacii tolko nub

Если так разобраться в удаление логов, и подумать в целом, впринципи все мы нубы, ведь снапшоты мы не сможем удалить.

 

[Player_1]

Если так разобраться в удаление логов, и подумать в целом, впринципи все мы нубы, ведь снапшоты мы не сможем удалить.

Если тут речь идет о своих серверах, то любой нормальный хостер дает доступ к ВНЦ, используй VeraCrypt

 

[Benihowy]

Если тут речь идет о своих серверах, то любой нормальный хостер дает доступ к ВНЦ, используй VeraCrypt

А причем сдесь внс? и как поможет вера при снапшоте? а система загрузится с верой?

 

[Player_1]

А причем сдесь внс? и как поможет вера при снапшоте? а система загрузится с верой?

Я ни в коем случае не претендую на уровень профи в этом вопросе, но разве снапшот не будет зашифрован, это ж снэп зашифрованной системы?
ВНЦ чтоб систему просто хотя бы запустить, как ты подключишься по рдп, если до запуска машины вера просит пароль? Делал так - все работает и запускается

 

[Benihowy]

Я ни в коем случае не претендую на уровень профи в этом вопросе, но разве снапшот не будет зашифрован, это ж снэп зашифрованной системы?
ВНЦ чтоб систему просто хотя бы запустить, как ты подключишься по рдп, если до запуска машины вера просит пароль? Делал так - все работает и запускается

Снапшот - это снимок виртуальной машины в определенное время.

 

[Player_1]

Снапшот - это снимок виртуальной машины в определенное время.

Да я уже понял после написания ответа, что написал бред про снапшоты

 

[Benihowy]

Да я уже понял после написания ответа, что написал бред про снапшоты

Спасет от снапшота только реальное собственное железо где-то в датацентре.

 

[Player_1]

Спасет от снапшота только реальное собственное железо где-то в датацентре.

А что если сервер физический, насколько я знаю это невозможно сделать снаружи сервера, нужен доступ внутрь системы, а не зная пароля от юзера + вера сверху, это возможно?

 

[Benihowy]

А что если сервер физический, насколько я знаю это невозможно сделать снаружи сервера, нужен доступ внутрь системы, а не зная пароля от юзера + вера сверху, это возможно?

Доступ внутрь к какой системе?

 

[Player_1]

Доступ внутрь к какой системе?

Я имею в виду, что снять снапшот физического сервера вроде как нельзя, не имея доступа к машине, то есть по рдп там, смд и тд. Прав ли я?

 

[Benihowy]

Я имею ввиду, что снять снапшот физического сервера вроде как нельзя, не имея доступа к машине, то есть по рдп там, смд и тд. Прав ли я?

Нельзя, но и аренда юнита в стойке не на словах закрепляется, а на бумаге с использованием идентификационных данных арендующего.

 

[Stanford]

а система загрузится с верой?

Полнодисковое шифрование называется в Veracrypt, не нужно думать о логах. Даже bitlocker позволяет такое. В нормальных виртуалках присутствует своё шифрование, как дополнительное можно включить, например в VMWare или VirtualBox.

 

[bAlAb0lkA]

Отсутствует чистка реестра.
Отсутствует чистка логов отдельных программ.
Отсутствует чистка кукисов браузера и всякая прочая белиберда.

:start
cmdow @ /HID

wevtutil.exe cl Application
wevtutil.exe cl Security
wevtutil.exe cl Setup
wevtutil.exe cl System
wevtutil.exe cl ForwardedEvents
%WINDIR%\system32\rundll32.exe

FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V
IF (%adminTest%)==(Access) goto noAdmin
for /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")
echo.
echo Event Logs have been cleared!
goto theEnd
:do_clear
echo clearing %1
wevtutil.exe cl %1
goto :eof
:noAdmin
echo You must run this script as an Administrator!
echo.
:theEnd


rd /s /q %systemdrive%\$RECYCLE.BIN

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
cd %userprofile%\documents\
attrib Default.rdp -s -h


DEL /S /Q /A c:\*.log
DEL /S /Q /A c:\*.tmp
DEL /F /S /Q /A "%USERPROFILE%\Roaming\Macromedia\*"
DEL /F /S /Q /A "%USERPROFILE%\Roaming\Adobe\*"
DEL /F /S /Q /A "C:\Windows\Temp\*"
DEL /F /S /Q /A "C:\Temp\*"
DEL /F /S /Q /A "%USERPROFILE%\AppData\Local\Temp\*"
cd %USERPROFILE%\AppData\Local\Temp
rmdir /s /q %USERPROFILE%\AppData\Local\Temp
pushd %TEMP% && rd /s /q . > nul 2>&1
pushd %WinDir%\TEMP && rd /s /q . > nul 2>&1
pushd %TMP% && rd /s /q . > nul 2>&1
pushd %WinDir%\TMP && rd /s /q . > nul 2>&1
pushd %TEMP% && rd /s /q . > nul 2>&1
pushd %WinDir%\Temp && rd /s /q . > nul 2>&1
pushd %TMP% && rd /s /q . > nul 2>&1
pushd %WinDir%\tmp && rd /s /q . > nul 2>&1
pushd "%USERPROFILE%\Local Settings\Application Data\Temp" && rd /s /q . > nul 2>&1
pushd "%USERPROFILE%\AppData\Roaming\Adobe\" && rd /s /q . > nul 2>&1
pushd "%USERPROFILE%\Local Settings\Temporary Internet Files\" && rd /s /q . > nul 2>&1
pushd "%USERPROFILE%\Local Settings\History" && rd /s /q . > nul 2>&1
pushd %USERPROFILE%\Cookies && rd /s /q . > nul 2>&1
pushd "%USERPROFILE%\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\" && rd /s /q . > nul 2>&1

pushd %USERPROFILE%\Application Data\Microsoft\CryptNetURLCache\Content\ && rd /s /q . > nul 2>&1
pushd %USERPROFILE%\Application Data\Microsoft\CryptNetURLCache\MetaData\ && rd /s /q . > nul 2>&1
pushd %USERPROFILE%\Local Settings\Application Data\IconCache.db && rd /s /q . > nul 2>&1
pushd "C:\Documents and Settings\All Users\Application Data\Temp\" && rd /s /q . > nul 2>&1
pushd "C:\Documents and Settings\Default User\Cookies\" && rd /s /q . > nul 2>&1
pushd "C:\Documents and Settings\Default User\Local Settings\Temp\" && rd /s /q . > nul 2>&1
pushd "C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\" && rd /s /q . > nul 2>&1
pushd "C:\Documents and Settings\LocalService\Cookies\" && rd /s /q . > nul 2>&1
pushd "C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\" && rd /s /q . > nul 2>&1


pushd "c:\Program Files\Light\myprofile\jumpListCache\" && rd /s /q . > nul 2>&1
pushd "c:\Program Files\Light\myprofile\thumbnails\" && rd /s /q . > nul 2>&1
pushd "c:\Program Files\Light\myprofile\cache2\entries\" && rd /s /q . > nul 2>&1
DEL /S /Q /A "c:\Program Files\Light\*.sqlite"
DEL /S /Q /A "c:\Program Files\Light\*.txt"

DEL /F /S /Q /A "%USERPROFILE%\AppData\Roaming\Download Master\temp\*"
DEL /F /S /Q /A "%USERPROFILE%\AppData\Roaming\Download Master\logs\*"

Некоторые файлы в папаке "c:\Program Files\" должны быть заменены либо удалены.
Скопировать в батник и запускать при необходимости.

 

[Benihowy]

Полнодисковое шифрование называется в Veracrypt, не нужно думать о логах. Даже bitlocker позволяет такое. В нормальных виртуалках присутствует своё шифрование, как дополнительное можно включить, например в VMWare или VirtualBox.

А кто вам даст доступ к настройкам виртуалки. И причем тут вмваря и виртуалбокс?

 

[Stanford]

А кто вам даст доступ к настройкам виртуалки. И причем тут вмваря и виртуалбокс?

Ну ты и тип =) Личная система должна быть полностью зашифрована. Доверять кому то не стоит, держа личные данные на удалённом сервере, а потом пытаясь зачищать логи. Виртуалки на своём компьютере можно поднять, зашифровать. Хочешь hyper-v шифруй, чем пользовался, о том говорю.