Udostępnij za pośrednictwem

Remove-EventLog

  • Odwołanie
Moduł:
Microsoft.PowerShell.Management

Usuwa dziennik zdarzeń lub wyrejestrowuje źródło zdarzeń.

Składnia

Remove-EventLog
      [[-ComputerName] <String[]>]
      [-LogName] <String[]>
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-EventLog
      [[-ComputerName] <String[]>]
      [-Source <String[]>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Opis

Polecenie Remove-EventLogcmdlet usuwa plik dziennika zdarzeń z komputera lokalnego lub zdalnego i wyrejestrowuje wszystkie źródła zdarzeń dziennika. Tego polecenia cmdlet można również użyć do wyrejestrowania źródeł zdarzeń bez usuwania dzienników zdarzeń.

Polecenia cmdlet, które zawierają noun EventLog, polecenia cmdlet EventLog, działają tylko w klasycznych dziennikach zdarzeń. Aby uzyskać zdarzenia z dzienników korzystających z technologii Dziennika zdarzeń systemu Windows w systemie Windows Vista i nowszych wersjach systemu operacyjnego Windows, użyj polecenia Get-WinEvent.

Ostrzeżenie

To polecenie cmdlet może usuwać dzienniki zdarzeń systemu operacyjnego, co może powodować błędy aplikacji i nieoczekiwane zachowanie systemu.

Przykłady

Przykład 1. Usuwanie dziennika zdarzeń z komputera lokalnego

Remove-EventLog -LogName "MyLog"

To polecenie usuwa dziennik zdarzeń MyLog z komputera lokalnego i wyrejestrowuje źródła zdarzeń.

Przykład 2. Usuwanie dziennika zdarzeń z kilku komputerów

Remove-EventLog -LogName "MyLog", "TestLog" -ComputerName "Server01", "Server02", "localhost"

To polecenie usuwa dzienniki zdarzeń MyLog i TestLog z komputera lokalnego oraz komputerów zdalnych Server01 i Server02. Polecenie wyrejestruje również źródła zdarzeń dla tych dzienników.

Przykład 3. Usuwanie źródła zdarzeń

Remove-EventLog -Source "MyApp"

To polecenie usuwa źródło zdarzeń MyApp z dzienników na komputerze lokalnym. Po zakończeniu działania polecenia program MyApp nie może zapisywać w dziennikach zdarzeń.

Przykład 4. Usuwanie dziennika zdarzeń i potwierdzanie akcji

Te polecenia pokazują, jak wyświetlić listę dzienników zdarzeń na komputerze i sprawdzić, Remove-EventLogczy polecenie zakończyło się pomyślnie.

Get-EventLog -List

Max(K) Retain OverflowAction        Entries Log
------ ------ --------------        ------- ---
15,168      0 OverwriteAsNeeded      22,923 Application
15,168      0 OverwriteAsNeeded          53 DFS Replication
15,168      7 OverwriteOlder              0 Hardware Events
512      7 OverwriteOlder              0 Internet Explorer
20,480      0 OverwriteAsNeeded           0 Key Management Service
30,016      0 OverwriteAsNeeded      50,060 Security
15,168      0 OverwriteAsNeeded      27,592 System
15,360      0 OverwriteAsNeeded      18,355 Windows PowerShell
15,168      7 OverwriteAsNeeded          12 ZapLog

Remove-EventLog -LogName "ZapLog"
Get-EventLog -List

Max(K) Retain OverflowAction        Entries Log
------ ------ --------------        ------- ---
15,168      0 OverwriteAsNeeded      22,923 Application
15,168      0 OverwriteAsNeeded          53 DFS Replication
15,168      7 OverwriteOlder              0 Hardware Events
512      7 OverwriteOlder              0 Internet Explorer
20,480      0 OverwriteAsNeeded           0 Key Management Service
30,016      0 OverwriteAsNeeded      50,060 Security
15,168      0 OverwriteAsNeeded      27,592 System
15,360      0 OverwriteAsNeeded      18,355 Windows PowerShell

Pierwsze polecenie wyświetla dzienniki zdarzeń na komputerze lokalnym.

Drugie polecenie usuwa dziennik zdarzeń ZapLog.

Trzecie polecenie ponownie wyświetli listę dzienników zdarzeń. Dziennik zdarzeń ZapLog nie jest już wyświetlany na liście.

Przykład 5. Usuwanie źródła zdarzeń i potwierdzanie akcji

Get-WmiObject win32_nteventlogfile -Filter "logfilename='TestLog'" | foreach {$_.sources}

MyApp
TestApp

Remove-Eventlog -Source "MyApp"
Get-WmiObject win32_nteventlogfile -Filter "logfilename='TestLog'"} | foreach {$_.sources}

TestApp

Te polecenia używają Get-WmiObject polecenia cmdlet , aby wyświetlić listę źródeł zdarzeń na komputerze lokalnym. Te polecenia umożliwiają zweryfikowanie powodzenia polecenia lub usunięcie źródła zdarzeń.

Pierwsze polecenie pobiera źródła zdarzeń dziennika zdarzeń TestLog na komputerze lokalnym. MyApp jest jednym ze źródeł.

Drugie polecenie używa parametru Source polecenia , Remove-EventLogaby usunąć źródło zdarzeń MyApp.

Trzecie polecenie jest identyczne z pierwszym. Pokazuje, że źródło zdarzeń MyApp zostało usunięte.

Parametry

-ComputerName

Określa komputer zdalny. Wartość domyślna to komputer lokalny.

Wpisz nazwę NetBIOS, adres IP lub w pełni kwalifikowaną nazwę domeny komputera zdalnego. Aby określić komputer lokalny, wpisz nazwę komputera, kropkę (.) lub hosta lokalnego.

Ten parametr nie opiera się na komunikacji zdalnej programu Windows PowerShell. Można użyć parametru Remove-EventLogComputerName, nawet jeśli komputer nie jest skonfigurowany do uruchamiania poleceń zdalnych.

Typ:String[]
Aliasy:CN
Position:1
Domyślna wartość:None
Wymagane:False
Akceptowanie danych wejściowych potoku:False
Akceptowanie symboli wieloznacznych:False

-Confirm

Monituje o potwierdzenie przed uruchomieniem polecenia cmdlet.

Typ:SwitchParameter
Aliasy:cf
Position:Named
Domyślna wartość:False
Wymagane:False
Akceptowanie danych wejściowych potoku:False
Akceptowanie symboli wieloznacznych:False

-LogName

Określa dzienniki zdarzeń. Wprowadź nazwę dziennika jednego lub większej liczby dzienników zdarzeń rozdzielonych przecinkami. Nazwa dziennika jest wartością właściwości Log , a nie LogDisplayName, niedozwolone są znaki wieloznaczne. Ten parametr jest wymagany.

Typ:String[]
Aliasy:LN
Position:0
Domyślna wartość:None
Wymagane:True
Akceptowanie danych wejściowych potoku:False
Akceptowanie symboli wieloznacznych:False

-Source

Określa źródła zdarzeń, które to polecenie cmdlet wyrejestruje. Wprowadź nazwy źródłowe, a nie nazwę pliku wykonywalnego rozdzielone przecinkami.

Typ:String[]
Aliasy:SRC
Position:Named
Domyślna wartość:None
Wymagane:False
Akceptowanie danych wejściowych potoku:False
Akceptowanie symboli wieloznacznych:False

-WhatIf

Pokazuje, co się stanie po uruchomieniu polecenia cmdlet. Polecenie cmdlet nie zostało uruchomione.

Typ:SwitchParameter
Aliasy:wi
Position:Named
Domyślna wartość:False
Wymagane:False
Akceptowanie danych wejściowych potoku:False
Akceptowanie symboli wieloznacznych:False

Dane wejściowe

None

Nie można przekazać danych wejściowych potoku do tego polecenia cmdlet.

Dane wyjściowe

None

To polecenie cmdlet nie zwraca żadnych danych wyjściowych.

Uwagi

  • Aby używać Remove-EventLogw systemie Windows Vista i nowszych wersjach systemu operacyjnego Windows, uruchom program Windows PowerShell przy użyciu opcji Uruchom jako administrator.

    Jeśli usuniesz dziennik zdarzeń, a następnie ponownie utworzysz dziennik, nie będzie można zarejestrować tych samych źródeł zdarzeń. Aplikacje, które używały źródeł zdarzeń do zapisywania wpisów w oryginalnym dzienniku, nie będą mogły zapisywać w nowym dzienniku.

  • W przypadku wyrejestrowania źródła zdarzeń dla określonego dziennika źródło zdarzeń może uniemożliwić zapisywanie wpisów w innych dziennikach zdarzeń.