Remove-EventLog

Модуль:

Microsoft.PowerShell.Management

Удаляет журнал событий или отменяет регистрацию источника событий.

Синтаксис

Remove-EventLog
      [[-ComputerName] <String[]>]
      [-LogName] <String[]>
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Remove-EventLog
      [[-ComputerName] <String[]>]
      [-Source <String[]>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Описание

Командлет Remove-EventLogудаляет файл журнала событий с локального или удаленного компьютера и отменяет регистрацию всех источников событий для журнала. Кроме того, этот командлет можно использовать для отмены регистрации источников событий без удаления каких-либо журналов событий.

Командлеты, содержащие существительное EventLog, командлеты EventLog, работают только в классических журналах событий. Чтобы получить события из журналов, использующих технологию журнала событий Windows в Windows Vista и более поздних версиях операционной системы Windows, используйте Get-WinEvent.

Предупреждение

Этот командлет может удалять журналы событий операционной системы, что может привести к сбоям приложений и непредвиденному поведению системы.

Примеры

Пример 1. Удаление журнала событий с локального компьютера

Remove-EventLog -LogName "MyLog"

Эта команда удаляет журнал событий MyLog с локального компьютера и отменяет регистрацию источников событий для этого журнала.

Пример 2. Удаление журнала событий с нескольких компьютеров

Remove-EventLog -LogName "MyLog", "TestLog" -ComputerName "Server01", "Server02", "localhost"

Эта команда удаляет журналы событий MyLog и TestLog с локального компьютера и удаленных компьютеров Server01 и Server02. и отменяет регистрацию источников событий для этих журналов.

Пример 3. Удаление источника событий

Remove-EventLog -Source "MyApp"

Эта команда удаляет источник событий MyApp из журналов на локальном компьютере. По завершении команды программа MyApp не может записывать данные в журналы событий.

Пример 4. Удаление журнала событий и подтверждение действия

Эти команды показывают, как вывести список журналов событий на компьютере и убедиться, что команда выполнена Remove-EventLogуспешно.

Get-EventLog -List

Max(K) Retain OverflowAction        Entries Log
------ ------ --------------        ------- ---
15,168      0 OverwriteAsNeeded      22,923 Application
15,168      0 OverwriteAsNeeded          53 DFS Replication
15,168      7 OverwriteOlder              0 Hardware Events
512      7 OverwriteOlder              0 Internet Explorer
20,480      0 OverwriteAsNeeded           0 Key Management Service
30,016      0 OverwriteAsNeeded      50,060 Security
15,168      0 OverwriteAsNeeded      27,592 System
15,360      0 OverwriteAsNeeded      18,355 Windows PowerShell
15,168      7 OverwriteAsNeeded          12 ZapLog

Remove-EventLog -LogName "ZapLog"
Get-EventLog -List

Max(K) Retain OverflowAction        Entries Log
------ ------ --------------        ------- ---
15,168      0 OverwriteAsNeeded      22,923 Application
15,168      0 OverwriteAsNeeded          53 DFS Replication
15,168      7 OverwriteOlder              0 Hardware Events
512      7 OverwriteOlder              0 Internet Explorer
20,480      0 OverwriteAsNeeded           0 Key Management Service
30,016      0 OverwriteAsNeeded      50,060 Security
15,168      0 OverwriteAsNeeded      27,592 System
15,360      0 OverwriteAsNeeded      18,355 Windows PowerShell

Первая команда выводит список журналов событий на локальном компьютере.

Вторая команда удаляет журнал событий ZapLog.

Третья команда снова выводит список журналов событий. Журнал событий ZapLog больше не отображается в списке.

Пример 5. Удаление источника событий и подтверждение действия

Get-WmiObject win32_nteventlogfile -Filter "logfilename='TestLog'" | foreach {$_.sources}

MyApp
TestApp

Remove-Eventlog -Source "MyApp"
Get-WmiObject win32_nteventlogfile -Filter "logfilename='TestLog'"} | foreach {$_.sources}

TestApp

Эти команды используют Get-WmiObject командлет для перечисления источников событий на локальном компьютере. Эти команды можно использовать для проверки выполнения команды или удаления источника событий.

Первая команда выдает источники событий TestLog журнала событий на локальном компьютере. Одним из источников является MyApp.

Вторая команда использует параметр Source для Remove-EventLogудаления источника событий MyApp.

Третья команда идентична первой. Она показывает, что источник событий MyApp удален.

Параметры

-ComputerName

Указывает удаленный компьютер. По умолчанию используется локальный компьютер.

Введите имя NetBIOS, IP-адрес или полное доменное имя удаленного компьютера. Чтобы указать локальный компьютер, введите имя компьютера, точку (.) или localhost.

Этот параметр не зависит от удаленного взаимодействия Windows PowerShell. Параметр ComputerNameRemove-EventLogможно использовать даже в том случае, если компьютер не настроен для выполнения удаленных команд.

Type:	String[]
Aliases:	CN
Position:	1
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False

-Confirm

Запрос подтверждения перед выполнением командлета.

Type:	SwitchParameter
Aliases:	cf
Position:	Named
Default value:	False
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False

-LogName

Определяет журналы событий. Введите имя журнала одного или нескольких журналов событий, разделенных запятыми. Имя журнала — это значение свойства Log, а не LogDisplayName, Wild карта символов. Этот параметр является обязательным.

Type:	String[]
Aliases:	LN
Position:	0
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False

-Source

Указывает источники событий, которые этот командлет отменяет регистрацию. Введите исходные имена, а не имя исполняемого файла, разделенные запятыми.

Type:	String[]
Aliases:	SRC
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False

-WhatIf

Показывает, что произойдет при запуске командлета. Командлет не выполняется.

Type:	SwitchParameter
Aliases:	wi
Position:	Named
Default value:	False
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False

Входные данные

None

В этот командлет нельзя передать входные данные.

Выходные данные

None

Этот командлет не возвращает никакие выходные данные.

Примечания

• Чтобы использовать Remove-EventLogв Windows Vista и более поздних версиях операционной системы Windows, запустите Windows PowerShell с помощью параметра "Запуск от имени администратора".

  Если удалить журнал событий, а затем создать его заново, регистрация источников событий, которые использовались с прежним журналом, будет невозможна. Приложения, которые использовали источники событий для внесения записей в исходный журнал, не будут записывать данные в новый журнал.

• После отмены регистрации источника событий для одного журнала этому источнику может быть запрещена запись данных в другие журналы.

Связанные ссылки

• Clear-EventLog
• Get-EventLog
• Limit-EventLog
• New-EventLog
• Remove-EventLog
• Show-EventLog
• Write-EventLog