Remove-EventLog
Tar bort en händelselogg eller avregistrerar en händelsekälla.
Syntax
Remove-EventLog
[[-ComputerName] <String[]>]
[-LogName] <String[]>
[-WhatIf]
[-Confirm]
[<CommonParameters>]
Remove-EventLog
[[-ComputerName] <String[]>]
[-Source <String[]>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
Description
Cmdleten Remove-EventLog tar bort en händelseloggfil från en lokal dator eller fjärrdator och avregistrerar alla dess händelsekällor för loggen. Du kan också använda den här cmdleten för att avregistrera händelsekällor utan att ta bort några händelseloggar.
De cmdletar som innehåller EventLog-substantivet EventLog-cmdletar fungerar endast i klassiska händelseloggar. Om du vill hämta händelser från loggar som använder Windows händelseloggteknik i Windows Vista och senare versioner av Windows-operativsystemet använder du Get-WinEvent.
VARNING! Den här cmdleten kan ta bort händelseloggar för operativsystemet, vilket kan orsaka programfel och oväntat systembeteende.
Exempel
Exempel 1: Ta bort en händelselogg från den lokala datorn
PS C:\> Remove-EventLog -LogName "MyLog"
Det här kommandot tar bort händelseloggen MyLog från den lokala datorn och avregistrerar dess händelsekällor.
Exempel 2: Ta bort en händelselogg från flera datorer
PS C:\> Remove-EventLog -LogName "MyLog", "TestLog" -ComputerName "Server01", "Server02", "localhost"
Det här kommandot tar bort händelseloggarna MyLog och TestLog från den lokala datorn och fjärrdatorerna Server01 och Server02. Kommandot avregistrerar även händelsekällorna för dessa loggar.
Exempel 3: Ta bort en händelsekälla
PS C:\> Remove-EventLog -Source "MyApp"
Det här kommandot tar bort MyApp-händelsekällan från loggarna på den lokala datorn. När kommandot har slutförts kan Inte MyApp-programmet skriva till några händelseloggar.
Exempel 4: Ta bort en händelselogg och bekräfta åtgärden
The first command lists the event logs on the local computer.
PS C:\> Get-EventLog -List
Max(K) Retain OverflowAction Entries Log
------ ------ -------------- ------- ---
15,168 0 OverwriteAsNeeded 22,923 Application
15,168 0 OverwriteAsNeeded 53 DFS Replication
15,168 7 OverwriteOlder 0 Hardware Events
512 7 OverwriteOlder 0 Internet Explorer
20,480 0 OverwriteAsNeeded 0 Key Management Service
30,016 0 OverwriteAsNeeded 50,060 Security
15,168 0 OverwriteAsNeeded 27,592 System
15,360 0 OverwriteAsNeeded 18,355 Windows PowerShell
15,168 7 OverwriteAsNeeded 12 ZapLog
The second command deletes the ZapLog event log.
PS C:\> Remove-EventLog -LogName "ZapLog"
The third command lists the event logs again. The ZapLog event log no longer appears in the list.
PS C:\> Get-EventLog -List
Max(K) Retain OverflowAction Entries Log
------ ------ -------------- ------- ---
15,168 0 OverwriteAsNeeded 22,923 Application
15,168 0 OverwriteAsNeeded 53 DFS Replication
15,168 7 OverwriteOlder 0 Hardware Events
512 7 OverwriteOlder 0 Internet Explorer
20,480 0 OverwriteAsNeeded 0 Key Management Service
30,016 0 OverwriteAsNeeded 50,060 Security
15,168 0 OverwriteAsNeeded 27,592 System
15,360 0 OverwriteAsNeeded 18,355 Windows PowerShell
Dessa kommandon visar hur du visar händelseloggarna på en dator och kontrollerar att kommandot Remove-EventLog lyckades.
Exempel 5: Ta bort en händelsekälla och bekräfta åtgärden
PS C:\> Get-WmiObject win32_nteventlogfile -Filter "logfilename='TestLog'" | foreach {$_.sources}
MyApp
TestApp
PS C:\> Remove-Eventlog -Source "MyApp"
PS C:\> Get-WmiObject win32_nteventlogfile -Filter "logfilename='TestLog'"} | foreach {$_.sources}
TestApp
Dessa kommandon använder cmdleten Get-WmiObject för att visa en lista över händelsekällorna på den lokala datorn. Du kan använda de här kommandona för att kontrollera att ett kommando har slutförts eller för att ta bort en händelsekälla.
Det första kommandot hämtar händelsekällorna för TestLog-händelseloggen på den lokala datorn. MyApp är en av källorna.
Det andra kommandot använder parametern Source i Remove-EventLog för att ta bort MyApp-händelsekällan.
Det tredje kommandot är identiskt med det första. Den visar att MyApp-händelsekällan har tagits bort.
Parametrar
-ComputerName
Anger en fjärrdator. Standard är den lokala datorn.
Ange NetBIOS-namnet, en IP-adress eller ett fullständigt domännamn för en fjärrdator. Om du vill ange den lokala datorn skriver du datornamnet, en punkt (.) eller localhost.
Den här parametern förlitar sig inte på Windows PowerShell fjärrkommunikation. Du kan använda parametern ComputerName i Remove-EventLog även om datorn inte är konfigurerad för att köra fjärrkommandon.
Type: | String[] |
Aliases: | CN |
Position: | 1 |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-Confirm
Uppmanar dig att bekräfta innan du kör cmdleten.
Type: | SwitchParameter |
Aliases: | cf |
Position: | Named |
Default value: | False |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-LogName
Anger händelseloggarna. Ange loggnamnet för en eller flera händelseloggar, avgränsade med kommatecken. Loggnamnet är värdet för logegenskapen, inte LogDisplayName, jokertecken tillåts inte. Den här parametern krävs.
Type: | String[] |
Aliases: | LN |
Position: | 0 |
Default value: | None |
Required: | True |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-Source
Anger de händelsekällor som denna cmdlet avregistrerar. Ange källnamnen, inte det körbara namnet, avgränsade med kommatecken.
Type: | String[] |
Aliases: | SRC |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-WhatIf
Visar vad som skulle hända om cmdleten kördes. Cmdleten körs inte.
Type: | SwitchParameter |
Aliases: | wi |
Position: | Named |
Default value: | False |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Indata
None
Du kan inte skicka indata till denna cmdlet.
Utdata
None
Denna cmdlet returnerar inga utdata.
Kommentarer
Om du vill använda Remove-EventLog i Windows Vista och senare versioner av Windows-operativsystemet börjar du Windows PowerShell med alternativet Kör som administratör.
Om du tar bort en händelselogg och sedan återskapar loggen kan du inte registrera samma händelsekällor. Program som använde händelsekällorna för att skriva poster till den ursprungliga loggen kommer inte att kunna skriva till den nya loggen.
När du avregistrerar en händelsekälla för en viss logg kan händelsekällan hindras från att skriva poster i andra händelseloggar.