一键批量禁用、清空系统日志事件补充版本

一键批量禁用、清空系统日志事件（以 Windows 10 1803 企业版为例）_windwos禁用日志有影响吗-CSDN博客https://blog.csdn.net/ingino/article/details/81279611一键批量禁用、清空系统日志事件一键批量禁用、清空系统日志事件（以 Windows 10 1803 企业版为例）_windwos禁用日志有影响吗-CSDN博客https://blog.csdn.net/ingino/article/details/81279611

1、解决办法
想把window目录下的全部禁用，请分别运行以下两个脚本（打包成CMD）

第一个脚本：清楚不那么重要的

@echo off
setlocal EnableDelayedExpansion

if exist C:\List*.txt del C:\List*.txt

pushd C:\Windows\System32\winevt\Logs

dir "Microsoft-Windows-*" /B >C:\List.txt
for /f "tokens=1 delims=." %%i in (c:\List.txt) do (
echo %%i>>C:\List2.txt
)

for /f "tokens=1* delims=%%4" %%m in (c:\List2.txt) do (
setlocal EnableDelayedExpansion
wevtutil sl "%%m/%%n" /e:false
)
pause

运行完成之后，他会告诉你有几个找不到，这个时候运行以下代码

@echo off
setlocal EnableDelayedExpansion

if exist C:\List*.txt del C:\List*.txt

pushd C:\Windows\System32\winevt\Logs

dir "Microsoft-Windows-*" /B >C:\List.txt
for /f "tokens=1 delims=." %%i in (C:\List.txt) do (
    echo %%i>>C:\List2.txt
)

for /f "tokens=1 delims=/" %%m in (C:\List2.txt) do (
    set "log_name=%%m"
    wevtutil sl "!log_name!" /e:false
)
pause

这个会提示你非常多找不到，但是能把第一个脚本找不到的找到并且禁用

2、原理

这里就留个悬念，up用了一个下午才搞明白
提示注意名字：%4结尾的和其他结尾的
ps：第二个脚本所禁用的日志都是微软故意不让你普通禁用的，因为他们很重要噢...慎重运行第二个脚本