В мониторе ресурсов Windows 10 я обнаружил, что системный процесс постоянно записывает C: ProgramData Microsoft Windows wfp wfpdiag.etl примерно со скоростью 30–100 КБ/с. Это равно 1 ТБ записи в год, что нехорошо для SSD. Есть и другие записи журнала, такие как C: Windows System32 LogFiles ***.
Хотя журналы необходимы для диагностики, их лучше включать только тогда, когда проблема уже возникла.
Можно ли отключить как можно больше системных журналов, чтобы уменьшить количество мусора, записываемого на SSD?
По умолчанию Windows имеет огромное количество файлов журнала, которые постоянно записывают данные.
Два способа остановить некоторые из этого перемешивания:
Прекратить регистрацию «Успешный аудит» в платформе фильтрации Windows (WFP) , записывать только “Ошибка аудита”
- Откройте командную строку CMD как администратор: нажмите Windows , введите
cmd, нажмите Ctrl + Shift + Enter и подтвердите. - Введите (или скопируйте/вставьте) следующее и нажмите Enter :
auditpol/set/subcategory: "Filtering Platform Connection"/success: disable/failure: enable
Если это удастся, ожидайте, что будет регистрироваться меньше событий.
Отключить отдельные журналы 
- Откройте средство просмотра событий Windows: нажмите Windows R , введите
eventvwr.mscи нажмите Enter . - Прокрутите вниз до
Приложение и Журналы обслуживания,Microsoft,Windows,WFP. - Вправо -щелкните процесс журнала и выберите
Отключить журнал.
Полезным инструментом для поиска в журналах событий по имени является просмотр полного журнала событий Nirsoft. 
Переход на хардкор :
Если вы хотите отключить ведение журнала определенных событий, перейдите в Просмотр событий и вправо -щелкните журнал событий, от которого хотите избавиться. Щелкните Свойства события .
Должно открыться новое окно – щелкните XML-представление , где вы сможете увидеть GUID события. Попробуем найти в реестре сервис регистрации событий на основе этого GUID. Не все события имеют этот GUID, и мы не сможем найти все GUID в реестре.
После того, как у нас есть GUID, мы переходим к HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control WMI Autologger EventLog-System в regedit , и мы ищем наш GUID внутри изогнутых скобок.
Если мы его найдем, то сможем перейти к изменению ключей Enabled и EnabledProperty:
"Enabled" = dword: 0 "EnableProperty" = dword: 0
-
Вы пропустили шаг, который я не мог понять. Если вы написали «щелкните правой кнопкой мыши журнал событий, от которого хотите избавиться», как определить, какой журнал событий соответствует файлу, в который, как показывает монитор ресурсов, ведется интенсивная запись? (Например: C: Windows System32 LogFiles WMI NetCore.etl) Я не вижу функции поиска в средстве просмотра событий, и мне не удалось найти NetCore.etl. NetCore.etl где-то там – иголка в стоге сена – или это не тот журнал, который отображает Event Viewer? – Долорес Стивенс, 31 июля ’20 в 20:47
-
Это может быть другой вопрос (или вопросы) сам по себе. В своем ответе я никогда не касался файлов, а только событий. Я думаю, что потребуется некоторая обратная инженерия, чтобы выяснить это, или, по крайней мере, я не знаю способов узнать, какая служба ведения журнала записывает в какой файл. Вы всегда можете зайти в EventViewer и попытаться найти событие, которое соответствует содержимому вашего файла NetCore.etl. – GChuf 02 авг., 12:07
-
Когда я импортирую NetCore.etl в программу просмотра событий, результирующий список кажется бесполезным: «неизвестные» события и т. д. В блоге (medium.com/palantir/…) мне пришла идея запустить logman.exe: Когда я запустил “logman.exe query NetCore -ets”, в выходных данных было перечислено множество поставщиков: некоторые из них имеют читаемые имена (Network Profile Manager, Microsoft-Windows-SruMon, Network Location Awareness Trace, Microsoft-Windows-NetworkConnectivityStatus), а остальные имеют имена, соответствующие Руководство провайдера. Большинство из них имеют уровень 5 (подробный). – Долорес Стивенс, 02 авг., 17:39
-
Думаю, я нашел, как записать NetCore.etl на жесткий диск вместо ssd. Я запустил Performance Monitor (приложение для Windows), пробуренный до Data Collector Sets | Сеансы трассировки событий, щелкните правой кнопкой мыши NetCore, щелкните «Свойства», щелкните «Каталог» и перейдите к нужной папке. Я пока не знаю, будет ли это изменение навсегда. Если кто-то хочет полностью остановить запись, то, вероятно, это сделает нажатие кнопки «Стоп» вместо «Свойства», но я еще менее уверен, что это изменение будет постоянным.. какое-то приложение может перезапустить его, возможно, при следующем перезапуске Windows. – Долорес Стивенс 2 авг. ’20 в 18:11
Переход на хардкор :
Если вы хотите отключить определенное событие ведение журнала, перейдите в средство просмотра событий и щелкните правой кнопкой мыши журнал событий, от которого нужно избавиться. Щелкните Свойства события .
Должно открыться новое окно – щелкните XML-представление , где вы сможете увидеть GUID события. Попробуем найти в реестре сервис регистрации событий на основе этого GUID. Не все события имеют этот GUID, и мы не сможем найти все GUID в реестре.
После того, как у нас есть GUID, мы переходим к HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control WMI Autologger EventLog-System в regedit , и мы ищем наш GUID внутри изогнутых скобок.
Если мы его найдем, мы можем перейти к изменению ключей Enabled и EnabledProperty:
"Enabled" = dword: 0 "EnableProperty" = dword: 0
Думаю, я понял, как заставить NetCore.etl записывать на жесткий диск вместо ssd . Я запустил Performance Monitor (приложение для Windows), развернулся до Data Collector Sets | Сеансы трассировки событий, щелкните правой кнопкой мыши NetCore, выберите «Свойства» в появившемся меню, щелкните вкладку «Каталог» и перейдите к нужной папке. Время покажет, является ли изменение постоянным, но в настоящий момент журнал записывается на мой жесткий диск E :, согласно Resource Monitor.
Если кто-то хочет остановить написание NetCore.etl полностью, нажатие кнопки «Стоп» вместо «Свойства», вероятно, остановит его . Но я менее уверен, что это изменение будет постоянным. Некоторые приложения могут перезапустить его, возможно, при следующем перезапуске Windows. Если кто-нибудь попробует это сделать, я надеюсь, что он/она опубликует результат в этой ветке.
Аналогичным образом можно перенаправить (или остановить) несколько других файлов журнала.
-
Я нашел второй способ изменить папку, в которой записан NetCore.etl, с помощью logman.exe с соответствующими параметрами командной строки.. Этот метод имеет большое преимущество перед техникой графического интерфейса монитора производительности, поскольку его можно поместить в файл .bat и запускать при каждом запуске Windows. Сегодня я также узнал, что метод Performance Monitor не меняет папку навсегда, поэтому задача запуска Windows, запускающая logman, – это способ сделать это эффективно. Пример командной строки: «logman update trace NetCore -ets -o E: Windows_System32_LogFiles_WMI NetCore.etl» (без кавычек) – Долорес Стивенс, 15 августа ’20 в 22:26
Думаю, я понял, как заставить NetCore.etl записываться на жесткий диск вместо ssd . Я запустил Performance Monitor (приложение для Windows), развернулся до Data Collector Sets | Сеансы трассировки событий, щелкните правой кнопкой мыши NetCore, выберите «Свойства» в появившемся меню, щелкните вкладку «Каталог» и перейдите к нужной папке. Время покажет, является ли изменение постоянным, но в настоящий момент журнал записывается на мой жесткий диск E :, согласно Resource Monitor.
Если кто-то хочет остановить написание NetCore.etl полностью, нажатие кнопки «Стоп» вместо «Свойства», вероятно, остановит его . Но я менее уверен, что это изменение будет постоянным. Некоторые приложения могут перезапустить его, возможно, при следующем перезапуске Windows. Если кто-нибудь попробует это сделать, я надеюсь, что он/она опубликует результат в этой ветке.
Аналогичным образом можно перенаправить (или остановить) несколько других файлов журнала.