Поделиться через

Remove-EventLog

  • Статья

Удаляет журнал событий или отменяет регистрацию источника событий.

Синтаксис

Remove-EventLog [-LogName] <string[]> [[-ComputerName] <string[]>] [-Confirm] [-WhatIf] [<CommonParameters>]

Remove-EventLog [[-ComputerName] <string[]>] [-Source <string[]>] [-Confirm] [-WhatIf] [<CommonParameters>]

Описание

Командлет Remove-EventLog удаляет файл журнала событий с локального или удаленного компьютера и отменяет регистрацию всех источников событий для журнала. Кроме того, этот командлет можно использовать для отмены регистрации источников событий без удаления каких-либо журналов событий.

Командлеты, в имени которых содержится существительное EventLog (командлеты EventLog) работают только с классическими журналами событий. Чтобы получать события из журналов, основанных на технологии журнала событий Windows (в Windows Vista и более поздних версиях Windows), используйте командлет Get-WinEvent.

Параметры

-ComputerName <string[]>

Задает удаленный компьютер. По умолчанию используется значение "Локальный компьютер".

Введите имя NetBIOS, IP-адрес или полное доменное имя удаленного компьютера. Чтобы указать локальный компьютер, введите имя компьютера, точку (.) или "localhost".

Этот параметр не использует удаленное взаимодействие Windows PowerShell. Параметр ComputerName командлета Remove-EventLog можно использовать, даже если компьютер не настроен на выполнение удаленных команд.

Обязательно?

false

Позиция?

2

Значение по умолчанию

Принимать входные данные из конвейера?

false

Принимать подстановочные знаки?

false

-LogName <string[]>

Задает журналы событий. Введите имена (значение свойства Log; а не свойства LogDisplayName) одного или нескольких журналов событий, разделенные запятыми. Подстановочные знаки запрещены. Это обязательный параметр.

Обязательно?

true

Позиция?

1

Значение по умолчанию

Принимать входные данные из конвейера?

false

Принимать подстановочные знаки?

false

-Source <string[]>

Отменяет регистрацию указанных источников событий. Введите имена источников (не имена исполняемых файлов), разделяя их запятыми.

Обязательно?

false

Позиция?

named

Значение по умолчанию

Принимать входные данные из конвейера?

false

Принимать подстановочные знаки?

false

-Confirm

Запрашивает подтверждение перед выполнением команды.

Обязательно?

false

Позиция?

named

Значение по умолчанию

Принимать входные данные из конвейера?

false

Принимать подстановочные знаки?

false

-WhatIf

Описывает, что произойдет при выполнении команды, без ее фактического выполнения.

Обязательно?

false

Позиция?

named

Значение по умолчанию

Принимать входные данные из конвейера?

false

Принимать подстановочные знаки?

false

<CommonParameters>

Данный командлет поддерживает общие параметры -Verbose, -Debug, -ErrorAction, -ErrorVariable, -OutBuffer и -OutVariable. Дополнительные сведения см. в разделе about_Commonparameters.

Ввод и вывод

Входным типом является тип объектов, которые можно передавать командлету по конвейеру. Возвращаемым типом является тип объектов, возвращаемых командлетом.

Входные данные

Нет

Передать входные данные этому командлету по конвейеру невозможно.

Выходные данные

Нет

Этот командлет не возвращает никаких выходных данных.

Примечания

Чтобы использовать командлет Remove-EventLog в Windows Vista и более поздних версиях Windows, необходимо запускать Windows PowerShell командой "Запуск от имени администратора".

Если удалить журнал событий, а затем повторно создать его, регистрация источников событий, которые использовались с прежним журналом, будет невозможна. Приложения, которые использовали источники событий для внесения записей в исходный журнал, не будут записывать данные в новый журнал.

После отмены регистрации источника событий для конкретного журнала этому источнику может быть запрещена запись данных в другие журналы.

Пример 1

C:\PS>remove-eventlog -logname MyLog

Описание
-----------
Эта команда удаляет журнал событий MyLog с локального компьютера и отменяет регистрацию источников событий для этого журнала.

Пример 2

C:\PS>remove-eventlog -logname MyLog, TestLog -computername Server01, Server02, localhost

Описание
-----------
Эта команда удаляет журналы событий MyLog и TestLog с локального компьютера ("localhost") и удаленных компьютеров Server01 и Server02. Команда также отменяет регистрацию источников событий для этих журналов.

Пример 3

C:\PS>remove-eventlog -source MyApp

Описание
-----------
Эта команда удаляет источник событий MyApp из журналов на локальном компьютере. После выполнения команды программа MyApp не сможет записывать данные в какие-либо журналы событий.

Пример 4

C:\PS>get-eventlog -list

  Max(K) Retain OverflowAction        Entries Log
  ------ ------ --------------        ------- ---
  15,168      0 OverwriteAsNeeded      22,923 Application
  15,168      0 OverwriteAsNeeded          53 DFS Replication
     512      7 OverwriteOlder              0 Directory Service
  15,168      7 OverwriteOlder              0 Hardware Events
     512      7 OverwriteOlder              0 Internet Explorer
  20,480      0 OverwriteAsNeeded           0 Key Management Service
  30,016      0 OverwriteAsNeeded      50,060 Security
  15,168      0 OverwriteAsNeeded      27,592 System
  15,360      0 OverwriteAsNeeded      18,355 Windows PowerShell
  15,168      7 OverwriteAsNeeded          12 ZapLog

C:\PS> remove-eventlog -logname ZapLog

C:\PS> get-eventlog -list

  Max(K) Retain OverflowAction        Entries Log
  ------ ------ --------------        ------- ---
  15,168      0 OverwriteAsNeeded      22,923 Application
  15,168      0 OverwriteAsNeeded          53 DFS Replication
     512      7 OverwriteOlder              0 Directory Service
  15,168      7 OverwriteOlder              0 Hardware Events
     512      7 OverwriteOlder              0 Internet Explorer
  20,480      0 OverwriteAsNeeded           0 Key Management Service
  30,016      0 OverwriteAsNeeded      50,060 Security
  15,168      0 OverwriteAsNeeded      27,592 System
  15,360      0 OverwriteAsNeeded      18,355 Windows PowerShell

Описание
-----------
Эти команды демонстрируют, как вывести список журналов событий на компьютере и проверить, что команда Remove-EventLog выполнена успешно.

Первая команда выводит список всех журналов событий на локальном компьютере.

Вторая команда удаляет журнал событий ZapLog.

Третья команда повторно выводит список журналов событий. Журнал событий ZapLog больше не отображается в списке.

Пример 5

C:\PS>get-wmiobject win32_nteventlogfile -filter "logfilename='TestLog'" | foreach {$_.sources}

MyApp
TestApp

C:\PS> remove-eventlog -source MyApp

C:\PS> get-wmiobject win32_nteventlogfile -filter "logfilename='TestLog'} | foreach {$_.sources}
TestApp

Описание
-----------
Эти команды с помощью командлета Get-WmiObject выводят список источников событий на локальном компьютере. Эти команды можно использовать для проверки успешного выполнения команды или удаления источника событий.

Первая команда получает источники событий журнала TestLog на локальном компьютере. Одним из источников является MyApp.

Во второй команде используется параметр Source командлета Remove-EventLog, позволяющий удалить источник событий MyApp.

Третья команда идентична первой. Она позволяет убедиться, что источник событий MyApp удален.

См. также

Концепции

Clear-EventLog
Get-EventLog
Limit-EventLog
New-EventLog
Remove-EventLog
Show-EventLog
Write-EventLog
Get-WinEvent