使用EVTX编辑器修改Windows7系统日志

1、打开EVTX编辑器

2、打开evtx日志文件，进行如下修改操作后保存：

排序：按<排序>对日志排序

删除：选中一行或多行，点击<删除>

添加：选中一行或多行，点击<添加>后，所选行被复制插入（新插入的行没有图标），这时可以修改新添加记录的时间。

批量删除：点击表头，按当前列排序，批量指定级别、来源的日志。

3、保存后，使用工具替换原文件。