如何从事件查看器中删除“已保存的日志”

本文介绍如何从事件查看器删除“已保存日志”下的文件。

适用于：Windows 10 - 所有版本
原始 KB 编号： 2489761

症状

如果经常在 事件查看器 (eventvwr.msc) 中查看多个 EVT 或 EVTX 文件，则可能注意到“已保存的日志”下累积了大量文件。 即使删除了原始 EVT 和 EVTX 文件，这些条目也是永久性的。

原因

事件查看器以 .XML 格式存储保存的日志位置。 可以在以下目录中找到 .XML 文件。
%programdata%\Microsoft\事件查看器\ExternalLogs

解决方案

可以从命令提示符运行以下命令以清除已保存的日志。
del /s /q %programdata%\microsoft\eventv~1\extern~1
还可以浏览到以下位置并手动删除日志：
C：\ProgramData\Microsoft\事件查看器\ExternalLogs

注意

此文件夹的内容已隐藏，因此必须打开 “显示隐藏的文件” 并关闭 “隐藏受保护的操作系统文件” 才能查看它们。

更多信息

事件查看器在启动时读取保存的日志位置，并在关闭日志时保存日志位置。 应执行以下操作，以确保正确删除保存的日志。

• 在尝试从命令提示符清除“已保存的日志”之前，请关闭事件查看器 (MMC.EXE) 的所有实例。
• 如果要从 GUI 手动删除保存的日志，请确保只有一个 事件查看器 实例处于打开状态。