我已注册日志并通过注册表添加了源
(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<Log>\<Source>)
注册时,系统会为事件创建evt文件并设置整个日志参数。
但是我不知道如何取消注册特定的源或整个日志。 我当然可以删除注册表中的密钥,它会从系统事件查看器中消失,但是文件* .evt仍然被svchost阻止,我也想删除这个文件。
我如何完全停止这样的日志?
答案 0 :(得分:3)
我相信程序如下:
RegisterEventSource DeregisterEventSource 我的观点是,在成功调用DeregisterEventSource之后,.evt文件应该被系统删除或者至少被释放,所以你应该能够自己删除它。
答案 1 :(得分:1)
来自MSDN:
DeregisterEventSource关闭指定事件日志的写句柄
ClearEventLog清除指定的事件日志,并可选择将日志的当前副本保存到备份文件中。