清除 Windows 事件日志

对手可能会清除 Windows 事件日志以隐藏入侵活动。Windows 事件日志是计算机警报和通知的记录。系统定义了三个事件源：系统、应用程序和安全性，具有五种事件类型：错误、警告、信息、成功审核和失败审核。 具有管理员权限，可以使用以下实用程序命令清除事件日志： * wevtutil cl system * wevtutil cl application * wevtutil cl security 这些日志也可以通过其他机制清除，例如事件查看器 GUI 或 PowerShell。例如，对手可能会使用 PowerShell 命令 Remove-EventLog -LogName Security 删除安全事件日志，并在重启后禁用未来的日志记录。注意：在运行命令和重启之间的时间内，事件可能仍会生成并记录在 .evtx 文件中。（引用：disable_win_evt_logging） 对手还可能尝试通过直接删除存储在 C:\Windows\System32\winevt\logs\ 中的日志文件来清除日志。