Remove-EventLog

Modul:

Microsoft.PowerShell.Management

Tar bort en händelselogg eller avregistrerar en händelsekälla.

Syntax

Remove-EventLog
      [[-ComputerName] <String[]>]
      [-LogName] <String[]>
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Remove-EventLog
      [[-ComputerName] <String[]>]
      [-Source <String[]>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Description

Cmdleten Remove-EventLog tar bort en händelseloggfil från en lokal dator eller fjärrdator och avregistrerar alla dess händelsekällor för loggen. Du kan också använda den här cmdleten för att avregistrera händelsekällor utan att ta bort några händelseloggar.

De cmdletar som innehåller EventLog-substantivet EventLog-cmdletar fungerar endast i klassiska händelseloggar. Om du vill hämta händelser från loggar som använder Windows händelseloggteknik i Windows Vista och senare versioner av Windows-operativsystemet använder du Get-WinEvent.

VARNING! Den här cmdleten kan ta bort händelseloggar för operativsystemet, vilket kan orsaka programfel och oväntat systembeteende.

Exempel

Exempel 1: Ta bort en händelselogg från den lokala datorn

PS C:\> Remove-EventLog -LogName "MyLog"

Det här kommandot tar bort händelseloggen MyLog från den lokala datorn och avregistrerar dess händelsekällor.

Exempel 2: Ta bort en händelselogg från flera datorer

PS C:\> Remove-EventLog -LogName "MyLog", "TestLog" -ComputerName "Server01", "Server02", "localhost"

Det här kommandot tar bort händelseloggarna MyLog och TestLog från den lokala datorn och fjärrdatorerna Server01 och Server02. Kommandot avregistrerar även händelsekällorna för dessa loggar.

Exempel 3: Ta bort en händelsekälla

PS C:\> Remove-EventLog -Source "MyApp"

Det här kommandot tar bort MyApp-händelsekällan från loggarna på den lokala datorn. När kommandot har slutförts kan Inte MyApp-programmet skriva till några händelseloggar.

Exempel 4: Ta bort en händelselogg och bekräfta åtgärden

The first command lists the event logs on the local computer.
PS C:\> Get-EventLog -List
Max(K) Retain OverflowAction        Entries Log
------ ------ --------------        ------- ---
15,168      0 OverwriteAsNeeded      22,923 Application
15,168      0 OverwriteAsNeeded          53 DFS Replication
15,168      7 OverwriteOlder              0 Hardware Events
512      7 OverwriteOlder              0 Internet Explorer
20,480      0 OverwriteAsNeeded           0 Key Management Service
30,016      0 OverwriteAsNeeded      50,060 Security
15,168      0 OverwriteAsNeeded      27,592 System
15,360      0 OverwriteAsNeeded      18,355 Windows PowerShell
15,168      7 OverwriteAsNeeded          12 ZapLog

The second command deletes the ZapLog event log.
PS C:\> Remove-EventLog -LogName "ZapLog"

The third command lists the event logs again. The ZapLog event log no longer appears in the list.
PS C:\> Get-EventLog -List
Max(K) Retain OverflowAction        Entries Log
------ ------ --------------        ------- ---
15,168      0 OverwriteAsNeeded      22,923 Application
15,168      0 OverwriteAsNeeded          53 DFS Replication
15,168      7 OverwriteOlder              0 Hardware Events
512      7 OverwriteOlder              0 Internet Explorer
20,480      0 OverwriteAsNeeded           0 Key Management Service
30,016      0 OverwriteAsNeeded      50,060 Security
15,168      0 OverwriteAsNeeded      27,592 System
15,360      0 OverwriteAsNeeded      18,355 Windows PowerShell

Dessa kommandon visar hur du visar händelseloggarna på en dator och kontrollerar att kommandot Remove-EventLog lyckades.

Exempel 5: Ta bort en händelsekälla och bekräfta åtgärden

PS C:\> Get-WmiObject win32_nteventlogfile -Filter "logfilename='TestLog'" | foreach {$_.sources}
MyApp
TestApp
PS C:\> Remove-Eventlog -Source "MyApp"
PS C:\> Get-WmiObject win32_nteventlogfile -Filter "logfilename='TestLog'"} | foreach {$_.sources}
TestApp

Dessa kommandon använder cmdleten Get-WmiObject för att visa en lista över händelsekällorna på den lokala datorn. Du kan använda de här kommandona för att kontrollera att ett kommando har slutförts eller för att ta bort en händelsekälla.

Det första kommandot hämtar händelsekällorna för TestLog-händelseloggen på den lokala datorn. MyApp är en av källorna.

Det andra kommandot använder parametern Source i Remove-EventLog för att ta bort MyApp-händelsekällan.

Det tredje kommandot är identiskt med det första. Den visar att MyApp-händelsekällan har tagits bort.

Parametrar

-ComputerName

Anger en fjärrdator. Standard är den lokala datorn.

Ange NetBIOS-namnet, en IP-adress eller ett fullständigt domännamn för en fjärrdator. Om du vill ange den lokala datorn skriver du datornamnet, en punkt (.) eller localhost.

Den här parametern förlitar sig inte på Windows PowerShell fjärrkommunikation. Du kan använda parametern ComputerName i Remove-EventLog även om datorn inte är konfigurerad för att köra fjärrkommandon.

Type:	String[]
Aliases:	CN
Position:	1
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False

-Confirm

Uppmanar dig att bekräfta innan du kör cmdleten.

Type:	SwitchParameter
Aliases:	cf
Position:	Named
Default value:	False
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False

-LogName

Anger händelseloggarna. Ange loggnamnet för en eller flera händelseloggar, avgränsade med kommatecken. Loggnamnet är värdet för logegenskapen, inte LogDisplayName, jokertecken tillåts inte. Den här parametern krävs.

Type:	String[]
Aliases:	LN
Position:	0
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False

-Source

Anger de händelsekällor som denna cmdlet avregistrerar. Ange källnamnen, inte det körbara namnet, avgränsade med kommatecken.

Type:	String[]
Aliases:	SRC
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False

-WhatIf

Visar vad som skulle hända om cmdleten kördes. Cmdleten körs inte.

Type:	SwitchParameter
Aliases:	wi
Position:	Named
Default value:	False
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False

Indata

None

Du kan inte skicka indata till denna cmdlet.

Utdata

None

Denna cmdlet returnerar inga utdata.

Kommentarer

• Om du vill använda Remove-EventLog i Windows Vista och senare versioner av Windows-operativsystemet börjar du Windows PowerShell med alternativet Kör som administratör.

  Om du tar bort en händelselogg och sedan återskapar loggen kan du inte registrera samma händelsekällor. Program som använde händelsekällorna för att skriva poster till den ursprungliga loggen kommer inte att kunna skriva till den nya loggen.

• När du avregistrerar en händelsekälla för en viss logg kan händelsekällan hindras från att skriva poster i andra händelseloggar.

Relaterade länkar

• Clear-EventLog
• Get-EventLog
• Limit-EventLog
• New-EventLog
• Remove-EventLog
• Show-EventLog
• Write-EventLog