как отменить регистрацию источника журнала событий?

Question

Я зарегистрировал журнал и добавил источник через реестр.
(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<Log>\<Source>)

При регистрации система создает файл evt для событий и настраивает все параметры журнала.

Однако я не знаю, как я могу отменить регистрацию конкретного источника или всего журнала.Я, конечно, могу удалить ключи в реестре, и он исчезнет из средства просмотра системных событий, однако файл * .evt все еще заблокирован svchost, и я хотел бы также удалить этот файл.

Как бы яполностью остановить такой журнал?

Answer 1

Я считаю, что процедура выглядит следующим образом:

1. установить: создать ключ реестра
2. открыть: RegisterEventSource
3. сообщить о событиях ...
4. закрыть: DeregisterEventSource
5. удалить: удалить ключ реестра

Я хочу сказать, что после успешного вызова DeregisterEventSource файл .evt должен быть удаленсистема или, по крайней мере, выпущена, поэтому вы можете удалить ее самостоятельно.

Answer 2

Из MSDN:
DeregisterEventSource Закрывает дескриптор записи в указанный журнал событий.
ClearEventLog Очищает указанный журнал событий и дополнительно сохраняет текущую копию журнала в файл резервной копии.

См. Эту статью MSDN для более подробной информации