Partager via

Remove-EventLog

  • Référence
Module:
Microsoft.PowerShell.Management

Supprime un journal des événements ou annule l'inscription d'une source d'événement.

Syntaxe

Remove-EventLog
      [[-ComputerName] <String[]>]
      [-LogName] <String[]>
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-EventLog
      [[-ComputerName] <String[]>]
      [-Source <String[]>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Description

L’applet Remove-EventLogde commande supprime un fichier journal des événements d’un ordinateur local ou distant et annule l’inscription de toutes ses sources d’événements pour le journal. Vous pouvez également utiliser cette applet de commande pour annuler l’inscription des sources d’événement sans supprimer de journaux des événements.

Les applets de commande qui contiennent le nom EventLog , les applets de commande EventLog , fonctionnent uniquement sur les journaux d’événements classiques. Pour obtenir des événements à partir de journaux qui utilisent la technologie du journal des événements Windows dans Windows Vista et les versions ultérieures du système d’exploitation Windows, utilisez Get-WinEvent.

Avertissement

Cette applet de commande peut supprimer les journaux des événements du système d’exploitation, ce qui peut entraîner des échecs d’application et un comportement système inattendu.

Exemples

Exemple 1 : Supprimer un journal des événements de l’ordinateur local

Remove-EventLog -LogName "MyLog"

Cette commande supprime le journal des événements MyLog de l’ordinateur local et annule l’inscription de ses sources d’événement.

Exemple 2 : Supprimer un journal des événements de plusieurs ordinateurs

Remove-EventLog -LogName "MyLog", "TestLog" -ComputerName "Server01", "Server02", "localhost"

Cette commande supprime les journaux des événements MyLog et TestLog de l’ordinateur local et des ordinateurs distants Server01 et Server02. La commande annule également l’inscription des sources d’événement de ces journaux.

Exemple 3 : Supprimer une source d’événement

Remove-EventLog -Source "MyApp"

Cette commande supprime la source d’événement MyApp des journaux sur l’ordinateur local. Une fois la commande terminée, le programme MyApp ne peut pas écrire dans les journaux des événements.

Exemple 4 : Supprimer un journal des événements et confirmer l’action

Ces commandes montrent comment répertorier les journaux des événements sur un ordinateur et vérifier qu’une Remove-EventLogcommande a réussi.

Get-EventLog -List

Max(K) Retain OverflowAction        Entries Log
------ ------ --------------        ------- ---
15,168      0 OverwriteAsNeeded      22,923 Application
15,168      0 OverwriteAsNeeded          53 DFS Replication
15,168      7 OverwriteOlder              0 Hardware Events
512      7 OverwriteOlder              0 Internet Explorer
20,480      0 OverwriteAsNeeded           0 Key Management Service
30,016      0 OverwriteAsNeeded      50,060 Security
15,168      0 OverwriteAsNeeded      27,592 System
15,360      0 OverwriteAsNeeded      18,355 Windows PowerShell
15,168      7 OverwriteAsNeeded          12 ZapLog

Remove-EventLog -LogName "ZapLog"
Get-EventLog -List

Max(K) Retain OverflowAction        Entries Log
------ ------ --------------        ------- ---
15,168      0 OverwriteAsNeeded      22,923 Application
15,168      0 OverwriteAsNeeded          53 DFS Replication
15,168      7 OverwriteOlder              0 Hardware Events
512      7 OverwriteOlder              0 Internet Explorer
20,480      0 OverwriteAsNeeded           0 Key Management Service
30,016      0 OverwriteAsNeeded      50,060 Security
15,168      0 OverwriteAsNeeded      27,592 System
15,360      0 OverwriteAsNeeded      18,355 Windows PowerShell

La première commande répertorie les journaux des événements présents sur l’ordinateur local.

La deuxième commande supprime le journal des événements ZapLog.

La troisième commande répertorie de nouveau les journaux des événements. Le journal des événements ZapLog ne figure plus dans la liste.

Exemple 5 : Supprimer une source d’événement et confirmer l’action

Get-WmiObject win32_nteventlogfile -Filter "logfilename='TestLog'" | foreach {$_.sources}

MyApp
TestApp

Remove-Eventlog -Source "MyApp"
Get-WmiObject win32_nteventlogfile -Filter "logfilename='TestLog'"} | foreach {$_.sources}

TestApp

Ces commandes utilisent l’applet Get-WmiObject de commande pour répertorier les sources d’événements sur l’ordinateur local. Vous pouvez utiliser ces commandes pour vérifier la réussite d’une commande ou pour supprimer une source d’événement.

La première commande obtient les sources d’événement du journal des événements TestLog présent sur l’ordinateur local. MyApp fait partie de ces sources.

La deuxième commande utilise le paramètre Source de la suppression de la source d’événement Remove-EventLogMyApp.

La troisième commande est identique à la première. Elle indique que la source d’événement MyApp a été supprimée.

Paramètres

-ComputerName

Spécifie un ordinateur distant. La valeur par défaut est l'ordinateur local.

Tapez le nom NetBIOS, une adresse IP ou un nom de domaine complet d'un ordinateur distant. Pour spécifier l’ordinateur local, tapez le nom de l’ordinateur, un point (.) ou localhost.

Ce paramètre ne s'appuie pas sur la communication à distance Windows PowerShell. Vous pouvez utiliser le paramètre ComputerName de Remove-EventLogmême si votre ordinateur n’est pas configuré pour exécuter des commandes distantes.

Type:String[]
Alias:CN
Position:1
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

-Confirm

Vous demande une confirmation avant d’exécuter la commande cmdlet.

Type:SwitchParameter
Alias:cf
Position:Named
Valeur par défaut:False
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

-LogName

Spécifie les journaux des événements. Entrez le nom du journal d’un ou plusieurs journaux d’événements, séparés par des virgules. Le nom du journal est la valeur de la propriété Log, et non logDisplayName, les caractères génériques ne sont pas autorisés. Ce paramètre est obligatoire.

Type:String[]
Alias:LN
Position:0
Valeur par défaut:None
Obligatoire:True
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

-Source

Spécifie les sources d’événements que cette applet de commande annule l’inscription. Entrez les noms sources, et non le nom exécutable, séparés par des virgules.

Type:String[]
Alias:SRC
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

-WhatIf

Montre ce qui se passe en cas d’exécution de l’applet de commande. L’applet de commande n’est pas exécutée.

Type:SwitchParameter
Alias:wi
Position:Named
Valeur par défaut:False
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

Entrées

None

Vous ne pouvez pas diriger d'entrée vers cette applet de commande.

Sorties

None

Cette applet de commande ne retourne aucune sortie.

Notes

  • Pour l’utiliser Remove-EventLogsur Windows Vista et les versions ultérieures du système d’exploitation Windows, démarrez Windows PowerShell à l’aide de l’option Exécuter en tant qu’administrateur.

    Si vous supprimez un journal des événements et que vous recréez le journal par la suite, vous ne pourrez pas inscrire les mêmes sources d’événement. Les applications qui ont utilisé les sources d’événement pour écrire des entrées dans le journal d’origine ne pourront rien écrire dans le nouveau journal.

  • Lorsque vous annulez l’inscription d’une source d’événement d’un journal particulier, vous pouvez empêcher la source d’événement d’écrire des entrées dans d’autres journaux des événements.