哈囉～
昨天我們介紹了Windows Event log，
今天要來試試看怎麼清除Windows的log囉～

最暴力、最簡單的方式就是打開我們昨天的事件檢視器，
然後點選右側的「清除紀錄檔」。

使用wevtutil清除Windows Event logs

可讓您擷取事件記錄檔和發行者的相關資訊。 您也可以使用此命令來安裝和解除安裝事件資訊清單、執行查詢以及匯出、封存和清除記錄檔。

以系統管理員身分進入命令提示字元(cmd)，可查看特定類型的紀錄。

wevtutil.exe gli [要取得的記錄檔類型]

也可以透過wevtutil指令來刪除指定類型的紀錄。

wevtutil.exe cl [要刪除的記錄檔類型]

透過以下command可以直接刪除Windows所有紀錄。

for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"

使用PowerShell刪除Windows Event logs

PowerShell 是新式的命令 shell，包含其他常用 shell 的最佳功能。 不同于大部分僅接受並傳回文字的 shell，PowerShell 會接受並傳回 .NET 物件。

透過Get-EventLog選得所有的紀錄類型( -LogName * )，並一次刪除所有Windows紀錄。

Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }

之後就會看到事件檢視器的Log，都被清光光啦～

小結

今天我們利用Windows內建的 PowerShell 與 命令提示字元(cmd) 來清除日誌，
除了刪除本機日誌外，攻擊者也會試圖清除存在於網路上的軌跡，
如刪除保存的session、退出時清除cookie、清除暫存、清除Cache等。

走囉！高歌離席～