/dev/null
- Overig
Event log opschonen middels .bat bestand
14-08-2018, 16:17 door Anoniem, 17 reacties
Hoi,
als ik een elevated cmd (dus niet powershell) start en deze code ingeef dan start mijn Windows 10 64bit met het opschoneen van de Event log:
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
Werkt prima. Wanneer ik deze code in een eenregelig batchbestand verwerk en dat met administratorrechten laat lopen, gebeurt er niets (er verschijnt een halve seconde een venster dat onmiddellijk weer verdwijnt). Ik vond de code op internet.
Wat moet ik doen om het commando als batchbestand uitvoerbaar te laten zijn?
Dank!!
als ik een elevated cmd (dus niet powershell) start en deze code ingeef dan start mijn Windows 10 64bit met het opschoneen van de Event log:
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
Werkt prima. Wanneer ik deze code in een eenregelig batchbestand verwerk en dat met administratorrechten laat lopen, gebeurt er niets (er verschijnt een halve seconde een venster dat onmiddellijk weer verdwijnt). Ik vond de code op internet.
Wat moet ik doen om het commando als batchbestand uitvoerbaar te laten zijn?
Dank!!
Reacties (17)
Als je op regel twee pause zet dan voorkomt dat mogelijk het sluiten van het batchbestand en kun je eventuele foutmeldingen lezen. PAUSE brengt de melding 'druk op een toets om verder te gaan...' op het scherm.
Zet eerst eens het commando pause aan het einde van je bat file zodat het scherm blijft staan en je eventuele meldingen kan zien.
15-08-2018, 08:44 door
Bitwiper
Iets met script kiddie en sporen wissen? Zo niet, vertel eerst maar waarom je dit zou willen.
Door Anoniem: Hoi,
als ik een elevated cmd (dus niet powershell) start en deze code ingeef dan start mijn Windows 10 64bit met het opschoneen van de Event log:
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
Werkt prima. Wanneer ik deze code in een eenregelig batchbestand verwerk en dat met administratorrechten laat lopen, gebeurt er niets (er verschijnt een halve seconde een venster dat onmiddellijk weer verdwijnt). Ik vond de code op internet.
Misschien gewoon eens het batch bestandje runnen en de foutmelding bekijken en posten? als ik een elevated cmd (dus niet powershell) start en deze code ingeef dan start mijn Windows 10 64bit met het opschoneen van de Event log:
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
Werkt prima. Wanneer ik deze code in een eenregelig batchbestand verwerk en dat met administratorrechten laat lopen, gebeurt er niets (er verschijnt een halve seconde een venster dat onmiddellijk weer verdwijnt). Ik vond de code op internet.
Of melden wat je exact wilt bereiken?
Wat moet ik doen om het commando als batchbestand uitvoerbaar te laten zijn?
Internet verder gebruiken om eens te zoeken en te leren wat je fout doet.Dank!!
Graag gedaanhm... pause toevoegen werkt niet (venstertje sluit gewoon nog hetzelfde). nog iemand een idee? Is het een powershellcode misschien (gisteren 23.20, ik heb ook die vraag)?
Misschien staat Windows gewoon niet toe dat er batch files worden uitgevoerd tijdens het opstarten. Waarom plaats je die batch file niet gewoon op de desktop of ergens in een map? Deze dan zelf 1 keer uitvoeren na het opstarten lijkt me ook niet het einde van de wereld.
Er was een tijd dat je dit soort opdrachten in AUTOEXEC.BAT kon zetten. ;)
Er was een tijd dat je dit soort opdrachten in AUTOEXEC.BAT kon zetten. ;)
15-08-2018, 19:00 door
Spiff has left the building
Door Anoniem, di.14-08, 16:17 uur:
Wat moet ik doen om het commando als batchbestand uitvoerbaar te laten zijn?
Heu.. waarom moet dat per se als eenregelig batchbestand?Wat moet ik doen om het commando als batchbestand uitvoerbaar te laten zijn?
Mag het niet met een uitgebreider batchbestand?
Een uitgebreider batchbestand is beschikbaar via bronnen die ook onder meer het eenregelige elevated command prompt commando vermelden.
Door Bitwiper, wo.15-08, 08:44 uur:
Iets met script kiddie en sporen wissen? Zo niet, vertel eerst maar waarom je dit zou willen.
Ook ik vraag me af waarom de Windows Event Viewer logs per se opgeschoond moeten worden met een batchbestand.Iets met script kiddie en sporen wissen? Zo niet, vertel eerst maar waarom je dit zou willen.
Maar er schijnt opvallend wat vraag naar te zijn, bij enig webzoeken vind ik diverse vermeldingen.
Door Bitwiper: Iets met script kiddie en sporen wissen? Zo niet, vertel eerst maar waarom je dit zou willen.
Waarom dacht ik daar nu ook aan?
%1 is het eerste argument dat aan het batchbestand wordt doorgegeven.
Het "For" commando werkt in een batchbestand anders dan in een opdrachtvenster.
Voor de syntax en voorbeelden verwijs ik je naar de diverse bronnen op het internet.
Dat niemand van de over het algemeen hoog van de toren blazende respondenten
dit heeft gezien!. Die werken inmiddels allemaal met Powerhell vermoed ik.
Het "For" commando werkt in een batchbestand anders dan in een opdrachtvenster.
Voor de syntax en voorbeelden verwijs ik je naar de diverse bronnen op het internet.
Dat niemand van de over het algemeen hoog van de toren blazende respondenten
dit heeft gezien!. Die werken inmiddels allemaal met Powerhell vermoed ik.
10-09-2018, 17:39 door
Eric-Jan H te D
Door Eric-Jan H te A:... Die werken inmiddels allemaal met Powerhell vermoed ik...
Een Freudiaanse verschrijving, maar bedoelt was natuurlijk Powershell.
10-09-2018, 20:46 door
-karma4
Door Eric-Jan H te A: Die werken inmiddels allemaal met Powerhell vermoed ik.
Cygwin met bash http://www.cygwin.com/.
Je moet dubbel % gebruiken.
Dus: for /F "tokens=*" %%1 in ('wevtutil.exe el') DO wevtutil.exe cl "%%1"
Dus: for /F "tokens=*" %%1 in ('wevtutil.exe el') DO wevtutil.exe cl "%%1"
Door Anoniem: Event log opschonen middels .bat bestand
Windows heeft hopelijk toch wel een logrotate achtig iets zodat de event log niet volloopt?https://www.networkworld.com/article/3218728/linux/how-log-rotation-works-with-logrotate.html
10-09-2018, 22:37 door
karma4
Als je googled moet je goed googlen en weten waar je het over hebt.
Een gekopieerd batchscript in de hoop dat het werkt is een start maar ga naar de commando's zelf.
https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/wevtutil
"ab:<Auto>
Specifies the log auto-backup policy. <Auto> can be true or false. If this value is true, the log will be backed up automatically when it reaches the maximum size. If this value is true, the retention (specified with the /rt option) must also be set to true.
/ms:<MaxSize>
Sets the maximum size of the log in bytes. The minimum log size is 1048576 bytes (1024KB) and log files are always multiples of 64KB, so the value you enter will be rounded off accordingly"
Voldoende om een automatisch voldoende schoon systeem te hebben. 1 keer inregelen en kijkt er niet meer naar om.
Je hebt vermoedelijk met een rechtenprobleem te maken. Zoek op acces denied.
https://support.microsoft.com/en-us/help/971256/error-message-when-attempting-to-start-the-windows-event-log-service-a Het is een van de vele. Wat gebeurt er?
Je aanname dat de security niet actief is omdat je admin bent klopt niet. Veel onderdelen van de security bij Windows werken wel degelijk onder de aparte admin accounts (meervoud). Ook die zijn weer verschillend in gedrag..
Neem je command prompt uitvoering die je kan volgen, je kan het zien (scherm is verbonden) en je kan reageren (keyboard verbonden). In een scheduled / background zij die resources er niet. Gaat het programma er van uit dat ze wel verbonden zijn dan kan het goed zijn dat enkel daardoor al een violation met een stop ontstaat.
Speciaal voor FOSS onder Linux bestaat die afscherming scheiding in admins en afscherming in resources niet.
Ooit de uitvoer van de ene user zo bij een ander zien langskomen, totaal niet acceptabel vanuit beveiligingsstandpunt..
Een gekopieerd batchscript in de hoop dat het werkt is een start maar ga naar de commando's zelf.
https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/wevtutil
"ab:<Auto>
Specifies the log auto-backup policy. <Auto> can be true or false. If this value is true, the log will be backed up automatically when it reaches the maximum size. If this value is true, the retention (specified with the /rt option) must also be set to true.
/ms:<MaxSize>
Sets the maximum size of the log in bytes. The minimum log size is 1048576 bytes (1024KB) and log files are always multiples of 64KB, so the value you enter will be rounded off accordingly"
Voldoende om een automatisch voldoende schoon systeem te hebben. 1 keer inregelen en kijkt er niet meer naar om.
Je hebt vermoedelijk met een rechtenprobleem te maken. Zoek op acces denied.
https://support.microsoft.com/en-us/help/971256/error-message-when-attempting-to-start-the-windows-event-log-service-a Het is een van de vele. Wat gebeurt er?
Je aanname dat de security niet actief is omdat je admin bent klopt niet. Veel onderdelen van de security bij Windows werken wel degelijk onder de aparte admin accounts (meervoud). Ook die zijn weer verschillend in gedrag..
Neem je command prompt uitvoering die je kan volgen, je kan het zien (scherm is verbonden) en je kan reageren (keyboard verbonden). In een scheduled / background zij die resources er niet. Gaat het programma er van uit dat ze wel verbonden zijn dan kan het goed zijn dat enkel daardoor al een violation met een stop ontstaat.
Speciaal voor FOSS onder Linux bestaat die afscherming scheiding in admins en afscherming in resources niet.
Ooit de uitvoer van de ene user zo bij een ander zien langskomen, totaal niet acceptabel vanuit beveiligingsstandpunt..
Event viewer zijn de logs handmatig op te schonen.. waarom het wiel opnieuw uit vinden :))
Maar gestel je automatiseert dit direct met het opstarten..
En in de toekomst heb je een issue met opstarten, software dan wel hardware
Waar ga jij dan in godsnaam de foutcode terug halen als je log meteen opgeschoond worden na opstarten
Maar gestel je automatiseert dit direct met het opstarten..
En in de toekomst heb je een issue met opstarten, software dan wel hardware
Waar ga jij dan in godsnaam de foutcode terug halen als je log meteen opgeschoond worden na opstarten
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
