Remove-EventLog
Exclui um log de eventos ou cancela o registro de uma fonte de evento.
Sintaxe
Remove-EventLog
[[-ComputerName] <String[]>]
[-LogName] <String[]>
[-WhatIf]
[-Confirm]
[<CommonParameters>]
Remove-EventLog
[[-ComputerName] <String[]>]
[-Source <String[]>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
Description
O Remove-EventLog
cmdlet exclui um arquivo de log de eventos de um computador local ou remoto e cancela o registro de todas as suas fontes de eventos para o log. Você também pode usar este cmdlet para cancelar o registro de fontes de evento sem excluir nenhum dos logs de eventos.
Os cmdlets que contêm o substantivo EventLog , os cmdlets EventLog , funcionam apenas em logs de eventos clássicos. Para obter eventos de logs que usam a tecnologia de Log de Eventos do Windows no Windows Vista e versões posteriores do sistema operacional Windows, use Get-WinEvent.
Aviso
Esse cmdlet pode excluir logs de eventos do sistema operacional, o que pode causar falhas de aplicativo e comportamento inesperado do sistema.
Exemplos
Exemplo 1: Remover um log de eventos do computador local
Remove-EventLog -LogName "MyLog"
Esse comando exclui o log de eventos MyLog do computador local e cancela o registro das suas fontes de evento.
Exemplo 2: Remover um log de eventos de vários computadores
Remove-EventLog -LogName "MyLog", "TestLog" -ComputerName "Server01", "Server02", "localhost"
Esse comando exclui os logs de eventos MyLog e TestLog do computador local e dos computadores remotos Server01 e Server02. O comando também cancela o registro de fontes de evento para esses logs.
Exemplo 3: Excluir uma fonte de evento
Remove-EventLog -Source "MyApp"
Esse comando exclui a origem do evento MyApp dos logs no computador local. Quando o comando é concluído, o programa MyApp não pode gravar em nenhum log de eventos.
Exemplo 4: Remover um log de eventos e confirmar a ação
Esses comandos mostram como listar os logs de eventos em um computador e verificar se um Remove-EventLog
comando foi bem-sucedido.
Get-EventLog -List
Max(K) Retain OverflowAction Entries Log
------ ------ -------------- ------- ---
15,168 0 OverwriteAsNeeded 22,923 Application
15,168 0 OverwriteAsNeeded 53 DFS Replication
15,168 7 OverwriteOlder 0 Hardware Events
512 7 OverwriteOlder 0 Internet Explorer
20,480 0 OverwriteAsNeeded 0 Key Management Service
30,016 0 OverwriteAsNeeded 50,060 Security
15,168 0 OverwriteAsNeeded 27,592 System
15,360 0 OverwriteAsNeeded 18,355 Windows PowerShell
15,168 7 OverwriteAsNeeded 12 ZapLog
Remove-EventLog -LogName "ZapLog"
Get-EventLog -List
Max(K) Retain OverflowAction Entries Log
------ ------ -------------- ------- ---
15,168 0 OverwriteAsNeeded 22,923 Application
15,168 0 OverwriteAsNeeded 53 DFS Replication
15,168 7 OverwriteOlder 0 Hardware Events
512 7 OverwriteOlder 0 Internet Explorer
20,480 0 OverwriteAsNeeded 0 Key Management Service
30,016 0 OverwriteAsNeeded 50,060 Security
15,168 0 OverwriteAsNeeded 27,592 System
15,360 0 OverwriteAsNeeded 18,355 Windows PowerShell
O primeiro comando lista os logs de eventos no computador local.
O segundo comando exclui o log de eventos ZapLog.
O terceiro comando lista os logs de evento novamente. O log de eventos ZapLog não aparece mais na lista.
Exemplo 5: Remover uma fonte de evento e confirmar a ação
Get-WmiObject win32_nteventlogfile -Filter "logfilename='TestLog'" | foreach {$_.sources}
MyApp
TestApp
Remove-Eventlog -Source "MyApp"
Get-WmiObject win32_nteventlogfile -Filter "logfilename='TestLog'"} | foreach {$_.sources}
TestApp
Esses comandos usam o Get-WmiObject
cmdlet para listar as fontes de eventos no computador local. É possível usar esses comandos para verificar o êxito de um comando ou para excluir uma fonte de evento.
O primeiro comando obtém as fontes de eventos do log de eventos TestLog no computador local. MyApp é uma das fontes.
O segundo comando usa o parâmetro Source de para excluir a origem do Remove-EventLog
evento MyApp.
O terceiro comando é idêntico ao primeiro. Ele mostra que a fonte de evento MyApp foi excluída.
Parâmetros
-ComputerName
Especifica um computador remoto. O padrão é o computador local.
Digite o nome NetBIOS, um endereço IP ou um nome de domínio totalmente qualificado de um computador remoto. Para especificar o computador local, digite o nome do computador, um ponto (.) ou localhost.
Esse parâmetro não depende da comunicação remota do Windows PowerShell. Você pode usar o parâmetro ComputerName mesmo Remove-EventLog
que o computador não esteja configurado para executar comandos remotos.
Tipo: | String[] |
Aliases: | CN |
Cargo: | 1 |
Valor padrão: | None |
Obrigatório: | False |
Aceitar a entrada de pipeline: | False |
Aceitar caracteres curinga: | False |
-Confirm
Solicita sua confirmação antes de executar o cmdlet.
Tipo: | SwitchParameter |
Aliases: | cf |
Cargo: | Named |
Valor padrão: | False |
Obrigatório: | False |
Aceitar a entrada de pipeline: | False |
Aceitar caracteres curinga: | False |
-LogName
Especifica os logs de evento. Insira o nome do log de um ou mais logs de eventos, separados por vírgulas. O nome do log é o valor da propriedade Log, não o LogDisplayName, caracteres curinga não são permitidos. Este parâmetro é obrigatório.
Tipo: | String[] |
Aliases: | LN |
Cargo: | 0 |
Valor padrão: | None |
Obrigatório: | True |
Aceitar a entrada de pipeline: | False |
Aceitar caracteres curinga: | False |
-Source
Especifica as fontes de evento cujo registro esse cmdlet cancela. Insira os nomes de origem, não o nome executável, separados por vírgulas.
Tipo: | String[] |
Aliases: | SRC |
Cargo: | Named |
Valor padrão: | None |
Obrigatório: | False |
Aceitar a entrada de pipeline: | False |
Aceitar caracteres curinga: | False |
-WhatIf
Mostra o que aconteceria se o cmdlet fosse executado. O cmdlet não é executado.
Tipo: | SwitchParameter |
Aliases: | wi |
Cargo: | Named |
Valor padrão: | False |
Obrigatório: | False |
Aceitar a entrada de pipeline: | False |
Aceitar caracteres curinga: | False |
Entradas
None
Não é possível redirecionar a entrada para este cmdlet.
Saídas
None
Este cmdlet não retorna nenhuma saída.
Observações
Para usar
Remove-EventLog
no Windows Vista e versões posteriores do sistema operacional Windows, inicie o Windows PowerShell usando a opção Executar como administrador.Se você remover um log de eventos e, em seguida, recriar o log, você não poderá registrar as mesmas fontes de evento. Aplicativos que usavam as fontes de eventos para gravar entradas para o log original não serão capazes de gravar no novo log.
Quando você cancela o registro de uma fonte de evento para um log específico, a origem do evento pode ser impedida de gravar entradas nos outros logs de eventos.