Udostępnij za pośrednictwem

Remove-EventLog

  • Odwołanie
Moduł:
Microsoft.PowerShell.Management

Usuwa dziennik zdarzeń lub wyrejestrowuje źródło zdarzeń.

Składnia

Remove-EventLog
      [[-ComputerName] <String[]>]
      [-LogName] <String[]>
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-EventLog
      [[-ComputerName] <String[]>]
      [-Source <String[]>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Opis

Polecenie cmdlet Remove-EventLog usuwa plik dziennika zdarzeń z komputera lokalnego lub zdalnego i wyrejestrowuje wszystkie źródła zdarzeń dziennika. Tego polecenia cmdlet można również użyć do wyrejestrowania źródeł zdarzeń bez usuwania dzienników zdarzeń.

Polecenia cmdlet zawierające EventLog noun, EventLog poleceń cmdlet, działają tylko w klasycznych dziennikach zdarzeń. Aby uzyskać zdarzenia z dzienników korzystających z technologii Dziennika zdarzeń systemu Windows w systemie Windows Vista i nowszych wersjach systemu operacyjnego Windows, użyj polecenia Get-WinEvent.

UWAGA: To polecenie cmdlet może usuwać dzienniki zdarzeń systemu operacyjnego, co może powodować błędy aplikacji i nieoczekiwane zachowanie systemu.

Przykłady

Przykład 1. Usuwanie dziennika zdarzeń z komputera lokalnego

PS C:\> Remove-EventLog -LogName "MyLog"

To polecenie usuwa dziennik zdarzeń MyLog z komputera lokalnego i wyrejestrowuje źródła zdarzeń.

Przykład 2. Usuwanie dziennika zdarzeń z kilku komputerów

PS C:\> Remove-EventLog -LogName "MyLog", "TestLog" -ComputerName "Server01", "Server02", "localhost"

To polecenie usuwa dzienniki zdarzeń MyLog i TestLog z komputera lokalnego oraz komputerów zdalnych Server01 i Server02. Polecenie wyrejestruje również źródła zdarzeń dla tych dzienników.

Przykład 3. Usuwanie źródła zdarzeń

PS C:\> Remove-EventLog -Source "MyApp"

To polecenie usuwa źródło zdarzeń MyApp z dzienników na komputerze lokalnym. Po zakończeniu działania polecenia program MyApp nie może zapisywać w dziennikach zdarzeń.

Przykład 4. Usuwanie dziennika zdarzeń i potwierdzanie akcji

The first command lists the event logs on the local computer.
PS C:\> Get-EventLog -List
Max(K) Retain OverflowAction        Entries Log
------ ------ --------------        ------- ---
15,168      0 OverwriteAsNeeded      22,923 Application
15,168      0 OverwriteAsNeeded          53 DFS Replication
15,168      7 OverwriteOlder              0 Hardware Events
512      7 OverwriteOlder              0 Internet Explorer
20,480      0 OverwriteAsNeeded           0 Key Management Service
30,016      0 OverwriteAsNeeded      50,060 Security
15,168      0 OverwriteAsNeeded      27,592 System
15,360      0 OverwriteAsNeeded      18,355 Windows PowerShell
15,168      7 OverwriteAsNeeded          12 ZapLog

The second command deletes the ZapLog event log.
PS C:\> Remove-EventLog -LogName "ZapLog"

The third command lists the event logs again. The ZapLog event log no longer appears in the list.
PS C:\> Get-EventLog -List
Max(K) Retain OverflowAction        Entries Log
------ ------ --------------        ------- ---
15,168      0 OverwriteAsNeeded      22,923 Application
15,168      0 OverwriteAsNeeded          53 DFS Replication
15,168      7 OverwriteOlder              0 Hardware Events
512      7 OverwriteOlder              0 Internet Explorer
20,480      0 OverwriteAsNeeded           0 Key Management Service
30,016      0 OverwriteAsNeeded      50,060 Security
15,168      0 OverwriteAsNeeded      27,592 System
15,360      0 OverwriteAsNeeded      18,355 Windows PowerShell

Te polecenia pokazują, jak wyświetlić listę dzienników zdarzeń na komputerze i sprawdzić, czy polecenie Remove-EventLog zakończyło się pomyślnie.

Przykład 5. Usuwanie źródła zdarzeń i potwierdzanie akcji

PS C:\> Get-WmiObject win32_nteventlogfile -Filter "logfilename='TestLog'" | foreach {$_.sources}
MyApp
TestApp
PS C:\> Remove-Eventlog -Source "MyApp"
PS C:\> Get-WmiObject win32_nteventlogfile -Filter "logfilename='TestLog'"} | foreach {$_.sources}
TestApp

Te polecenia używają polecenia cmdlet Get-WmiObject, aby wyświetlić listę źródeł zdarzeń na komputerze lokalnym. Te polecenia umożliwiają zweryfikowanie powodzenia polecenia lub usunięcie źródła zdarzeń.

Pierwsze polecenie pobiera źródła zdarzeń dziennika zdarzeń TestLog na komputerze lokalnym. MyApp jest jednym ze źródeł.

Drugie polecenie używa parametru source Remove-EventLog, aby usunąć źródło zdarzeń MyApp.

Trzecie polecenie jest identyczne z pierwszym. Pokazuje, że źródło zdarzeń MyApp zostało usunięte.

Parametry

-ComputerName

Określa komputer zdalny. Wartość domyślna to komputer lokalny.

Wpisz nazwę NetBIOS, adres IP lub w pełni kwalifikowaną nazwę domeny komputera zdalnego. Aby określić komputer lokalny, wpisz nazwę komputera, kropkę (.) lub hosta lokalnego.

Ten parametr nie opiera się na komunikacji zdalnej programu Windows PowerShell. Można użyć parametru ComputerNameRemove-EventLog nawet jeśli komputer nie jest skonfigurowany do uruchamiania poleceń zdalnych.

Typ:String[]
Aliasy:CN
Position:1
Domyślna wartość:None
Wymagane:False
Akceptowanie danych wejściowych potoku:False
Akceptowanie symboli wieloznacznych:False

-Confirm

Monituje o potwierdzenie przed uruchomieniem polecenia cmdlet.

Typ:SwitchParameter
Aliasy:cf
Position:Named
Domyślna wartość:False
Wymagane:False
Akceptowanie danych wejściowych potoku:False
Akceptowanie symboli wieloznacznych:False

-LogName

Określa dzienniki zdarzeń. Wprowadź nazwę dziennika jednego lub większej liczby dzienników zdarzeń rozdzielonych przecinkami. Nazwa dziennika jest wartością właściwości Log, a nie LogDisplayName, niedozwolone są znaki wieloznaczne. Ten parametr jest wymagany.

Typ:String[]
Aliasy:LN
Position:0
Domyślna wartość:None
Wymagane:True
Akceptowanie danych wejściowych potoku:False
Akceptowanie symboli wieloznacznych:False

-Source

Określa źródła zdarzeń, które to polecenie cmdlet wyrejestruje. Wprowadź nazwy źródłowe, a nie nazwę pliku wykonywalnego rozdzielone przecinkami.

Typ:String[]
Aliasy:SRC
Position:Named
Domyślna wartość:None
Wymagane:False
Akceptowanie danych wejściowych potoku:False
Akceptowanie symboli wieloznacznych:False

-WhatIf

Pokazuje, co się stanie, jeśli polecenie cmdlet zostanie uruchomione. Polecenie cmdlet nie jest uruchamiane.

Typ:SwitchParameter
Aliasy:wi
Position:Named
Domyślna wartość:False
Wymagane:False
Akceptowanie danych wejściowych potoku:False
Akceptowanie symboli wieloznacznych:False

Dane wejściowe

None

Nie można przekazać danych wejściowych potoku do tego polecenia cmdlet.

Dane wyjściowe

None

To polecenie cmdlet nie zwraca żadnych danych wyjściowych.

Uwagi

  • Aby użyć Remove-EventLog w systemie Windows Vista i nowszych wersjach systemu operacyjnego Windows, uruchom program Windows PowerShell przy użyciu opcji Uruchom jako administrator.

    Jeśli usuniesz dziennik zdarzeń, a następnie ponownie utworzysz dziennik, nie będzie można zarejestrować tych samych źródeł zdarzeń. Aplikacje, które używały źródeł zdarzeń do zapisywania wpisów w oryginalnym dzienniku, nie będą mogły zapisywać w nowym dzienniku.

  • W przypadku wyrejestrowania źródła zdarzeń dla określonego dziennika źródło zdarzeń może uniemożliwić zapisywanie wpisów w innych dziennikach zdarzeń.