Remove-EventLog
Удаляет журнал событий или отменяет регистрацию источника событий.
Синтаксис
Default (По умолчанию)
Remove-EventLog
[[-ComputerName] <String[]>]
[-LogName] <String[]>
[-WhatIf]
[-Confirm]
[<CommonParameters>]
Source
Remove-EventLog
[[-ComputerName] <String[]>]
[-Source <String[]>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
Описание
Командлет Remove-EventLogудаляет файл журнала событий с локального или удаленного компьютера и отменяет регистрацию всех источников событий для журнала. Этот командлет также можно использовать для отмены регистрации источников событий без удаления журналов событий.
Командлеты, содержащие существительное EventLog, командлеты EventLog, работают только в классических журналах событий. Чтобы получить события из журналов, использующих технологию журнала событий Windows в Windows Vista и более поздних версиях операционной системы Windows, используйте Get-WinEvent.
Предупреждение
Этот командлет может удалять журналы событий операционной системы, что может привести к сбоям приложений и непредвиденному поведению системы.
Примеры
Пример 1. Удаление журнала событий с локального компьютера
Remove-EventLog -LogName "MyLog"
Эта команда удаляет журнал событий MyLog с локального компьютера и отменяет регистрацию источников событий.
Пример 2. Удаление журнала событий с нескольких компьютеров
Remove-EventLog -LogName "MyLog", "TestLog" -ComputerName "Server01", "Server02", "localhost"
Эта команда удаляет журналы событий MyLog и TestLog с локального компьютера и удаленных компьютеров Server01 и Server02. Команда также отменяет регистрацию источников событий для этих журналов.
Пример 3. Удаление источника событий
Remove-EventLog -Source "MyApp"
Эта команда удаляет источник событий MyApp из журналов на локальном компьютере. По завершении команды программа MyApp не может записывать данные в журналы событий.
Пример 4. Удаление журнала событий и подтверждение действия
Эти команды показывают, как вывести список журналов событий на компьютере и убедиться, что команда Remove-EventLogвыполнена успешно.
Get-EventLog -List
Max(K) Retain OverflowAction Entries Log
------ ------ -------------- ------- ---
15,168 0 OverwriteAsNeeded 22,923 Application
15,168 0 OverwriteAsNeeded 53 DFS Replication
15,168 7 OverwriteOlder 0 Hardware Events
512 7 OverwriteOlder 0 Internet Explorer
20,480 0 OverwriteAsNeeded 0 Key Management Service
30,016 0 OverwriteAsNeeded 50,060 Security
15,168 0 OverwriteAsNeeded 27,592 System
15,360 0 OverwriteAsNeeded 18,355 Windows PowerShell
15,168 7 OverwriteAsNeeded 12 ZapLog
Remove-EventLog -LogName "ZapLog"
Get-EventLog -List
Max(K) Retain OverflowAction Entries Log
------ ------ -------------- ------- ---
15,168 0 OverwriteAsNeeded 22,923 Application
15,168 0 OverwriteAsNeeded 53 DFS Replication
15,168 7 OverwriteOlder 0 Hardware Events
512 7 OverwriteOlder 0 Internet Explorer
20,480 0 OverwriteAsNeeded 0 Key Management Service
30,016 0 OverwriteAsNeeded 50,060 Security
15,168 0 OverwriteAsNeeded 27,592 System
15,360 0 OverwriteAsNeeded 18,355 Windows PowerShell
Первая команда выводит журналы событий на локальном компьютере.
Вторая команда удаляет журнал событий ZapLog.
Третья команда снова выводит журналы событий. Журнал событий ZapLog больше не отображается в списке.
Пример 5. Удаление источника событий и подтверждение действия
Get-WmiObject Win32_NTEventlogFile -Filter "logfilename='TestLog'" | foreach {$_.Sources}
MyApp
TestApp
Remove-Eventlog -Source "MyApp"
Get-WmiObject Win32_NTEventlogFile -Filter "logfilename='TestLog'"} | foreach {$_.Sources}
TestApp
Эти команды используют командлет Get-WmiObject для перечисления источников событий на локальном компьютере. Эти команды можно проверить успешность команды или удалить источник событий.
Первая команда получает источники событий журнала событий TestLog на локальном компьютере. MyApp является одним из источников.
Вторая команда использует параметр SourceRemove-EventLogдля удаления источника событий MyApp.
Третья команда идентична первой. В нем показано, что источник событий MyApp был удален.
Параметры
-ComputerName
Указывает удаленный компьютер. По умолчанию используется локальный компьютер.
Введите имя NetBIOS, IP-адрес или полное доменное имя удаленного компьютера. Чтобы указать локальный компьютер, введите имя компьютера, точку (.) или localhost.
Этот параметр не зависит от удаленного взаимодействия Windows PowerShell. Вы можете использовать параметр ComputerNameRemove-EventLogдаже если компьютер не настроен для выполнения удаленных команд.
Свойства параметров
| Тип: | String[] |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
| Aliases: | Китай |
Наборы параметров
(All)
| Position: | 1 |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-Confirm
Запрашивает подтверждение перед запуском cmdlet.
Свойства параметров
| Тип: | SwitchParameter |
| Default value: | False |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
| Aliases: | cf |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-LogName
Указывает журналы событий. Введите имя журнала одного или нескольких журналов событий, разделенных запятыми. Имя журнала — это значение свойства Log, а не LogDisplayName, подстановочные знаки запрещены. Этот параметр является обязательным.
Свойства параметров
| Тип: | String[] |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
| Aliases: | LN |
Наборы параметров
Default
| Position: | 0 |
| Обязательно: | True |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-Source
Указывает источники событий, которые этот командлет отменяет регистрацию. Введите исходные имена, а не имя исполняемого файла, разделенные запятыми.
Свойства параметров
| Тип: | String[] |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
| Aliases: | SRC |
Наборы параметров
Source
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-WhatIf
Показывает, что произойдет, если командлет будет запущен. Командлет не запускается.
Свойства параметров
| Тип: | SwitchParameter |
| Default value: | False |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
| Aliases: | wi |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
CommonParameters
Этот командлет поддерживает общие параметры: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction и -WarningVariable. Дополнительные сведения см. в разделе about_CommonParameters.
Входные данные
None
Входные данные в этот командлет невозможно передать.
Выходные данные
None
Этот командлет не возвращает никакие выходные данные.
Примечания
Чтобы использовать
Remove-EventLogв Windows Vista и более поздних версиях операционной системы Windows, запустите Windows PowerShell с помощью параметра "Запуск от имени администратора".Если удалить журнал событий, а затем повторно создать журнал, вы не сможете зарегистрировать те же источники событий. Приложения, использующие источники событий для записи записей в исходный журнал, не смогут записывать в новый журнал.
При отмене регистрации источника событий для определенного журнала может быть запрещено записывать записи в других журналах событий.
