Remove-EventLog
Supprime un journal des événements ou annule l'inscription d'une source d'événement.
Syntaxe
Remove-EventLog [-LogName] <string[]> [[-ComputerName] <string[]>] [-Confirm] [-WhatIf] [<CommonParameters>]
Remove-EventLog [[-ComputerName] <string[]>] [-Source <string[]>] [-Confirm] [-WhatIf] [<CommonParameters>]
Description
L'applet de commande Remove-EventLog supprime un fichier journal d'événements d'un ordinateur local ou distant et annule l'inscription de toutes ses sources d'événement pour le journal. Vous pouvez également utiliser cette applet de commande pour annuler l'inscription des sources d'événement sans supprimer de journaux des événements.
Les applets de commande contenant le nom EventLog (les applets de commande EventLog) fonctionnent uniquement sur les journaux des événements classiques. Pour obtenir des événements à partir des journaux qui utilisent la technologie Journal des événements Windows sous Windows Vista et les versions ultérieures de Windows, utilisez Get-WinEvent.
Paramètres
-ComputerName <string[]>
Spécifie un ordinateur distant. La valeur par défaut est l'ordinateur local.
Tapez le nom NetBIOS, une adresse IP ou le nom de domaine complet d'un ordinateur distant. Pour spécifier l'ordinateur local, tapez le nom de l'ordinateur, un point (.) ou « localhost ».
Ce paramètre ne s'appuie pas sur la communication à distance Windows PowerShell. Vous pouvez utiliser le paramètre ComputerName de Remove-EventLog même si votre ordinateur n'est pas configuré pour exécuter des commandes distantes.
Obligatoire ? |
false |
Position ? |
2 |
Valeur par défaut |
|
Accepter l'entrée de pipeline ? |
false |
Accepter les caractères génériques ? |
false |
-LogName <string[]>
Spécifie les journaux des événements. Entrez le nom de journal (la valeur de la propriété Log et non LogDisplayName) d'un ou de plusieurs journaux des événements, en les séparant par des virgules. Les caractères génériques ne sont pas autorisés. Ce paramètre est obligatoire.
Obligatoire ? |
true |
Position ? |
1 |
Valeur par défaut |
|
Accepter l'entrée de pipeline ? |
false |
Accepter les caractères génériques ? |
false |
-Source <string[]>
Annule l'inscription des sources d'événement spécifiées. Entrez le nom des sources (et non le nom du fichier exécutable), en les séparant par des virgules.
Obligatoire ? |
false |
Position ? |
named |
Valeur par défaut |
|
Accepter l'entrée de pipeline ? |
false |
Accepter les caractères génériques ? |
false |
-Confirm
Vous invite à confirmer l'exécution de la commande.
Obligatoire ? |
false |
Position ? |
named |
Valeur par défaut |
|
Accepter l'entrée de pipeline ? |
false |
Accepter les caractères génériques ? |
false |
-WhatIf
Décrit le résultat que vous obtiendriez en exécutant la commande, sans réellement l'exécuter.
Obligatoire ? |
false |
Position ? |
named |
Valeur par défaut |
|
Accepter l'entrée de pipeline ? |
false |
Accepter les caractères génériques ? |
false |
<CommonParameters>
Cette applet de commande prend en charge les paramètres courants : -Verbose, -Debug, -ErrorAction, -ErrorVariable, -OutBuffer et -OutVariable. Pour plus d'informations, consultez about_Commonparameters.
Entrées et sorties
Le type d'entrée est le type des objets que vous pouvez diriger vers l'applet de commande. Le type de retour est le type des objets que l'applet de commande retourne.
Entrées |
None Vous ne pouvez pas diriger d'entrée vers cette applet de commande. |
Sorties |
None Cette applet de commande ne retourne aucune sortie. |
Remarques
Pour utiliser Remove-EventLog sur Windows Vista et les versions ultérieures de Windows, démarrez Windows PowerShell avec l'option Exécuter en tant qu'administrateur.
Si vous supprimez un journal des événements et que vous recréez le journal par la suite, vous ne pourrez pas inscrire les mêmes sources d'événement. Les applications qui ont utilisé les sources d'événement pour écrire des entrées dans le journal d'origine ne pourront rien écrire dans le nouveau journal.
Lorsque vous annulez l'inscription d'une source d'événement d'un journal particulier, vous pouvez empêcher la source d'événement d'écrire des entrées dans d'autres journaux des événements.
Exemple 1
C:\PS>remove-eventlog -logname MyLog
Description
-----------
Cette commande supprime le journal des événements MyLog de l'ordinateur local et annule l'inscription de ses sources d'événement.
Exemple 2
C:\PS>remove-eventlog -logname MyLog, TestLog -computername Server01, Server02, localhost
Description
-----------
Cette commande supprime les journaux des événements MyLog et TestLog de l'ordinateur local (« localhost ») et des ordinateurs distants Server01 et Server02. La commande annule également l'inscription des sources d'événement de ces journaux.
Exemple 3
C:\PS>remove-eventlog -source MyApp
Description
-----------
Cette commande supprime la source d'événement MyApp des journaux sur l'ordinateur local. Une fois la commande exécutée, le programme MyApp ne peut rien écrire dans les journaux des événements.
Exemple 4
C:\PS>get-eventlog -list
Max(K) Retain OverflowAction Entries Log
------ ------ -------------- ------- ---
15,168 0 OverwriteAsNeeded 22,923 Application
15,168 0 OverwriteAsNeeded 53 DFS Replication
512 7 OverwriteOlder 0 Directory Service
15,168 7 OverwriteOlder 0 Hardware Events
512 7 OverwriteOlder 0 Internet Explorer
20,480 0 OverwriteAsNeeded 0 Key Management Service
30,016 0 OverwriteAsNeeded 50,060 Security
15,168 0 OverwriteAsNeeded 27,592 System
15,360 0 OverwriteAsNeeded 18,355 Windows PowerShell
15,168 7 OverwriteAsNeeded 12 ZapLog
C:\PS> remove-eventlog -logname ZapLog
C:\PS> get-eventlog -list
Max(K) Retain OverflowAction Entries Log
------ ------ -------------- ------- ---
15,168 0 OverwriteAsNeeded 22,923 Application
15,168 0 OverwriteAsNeeded 53 DFS Replication
512 7 OverwriteOlder 0 Directory Service
15,168 7 OverwriteOlder 0 Hardware Events
512 7 OverwriteOlder 0 Internet Explorer
20,480 0 OverwriteAsNeeded 0 Key Management Service
30,016 0 OverwriteAsNeeded 50,060 Security
15,168 0 OverwriteAsNeeded 27,592 System
15,360 0 OverwriteAsNeeded 18,355 Windows PowerShell
Description
-----------
Ces commandes montrent comment répertorier les journaux des événements présents sur un ordinateur et vérifier qu'une commande Remove-EventLog a réussi.
La première commande répertorie les journaux des événements présents sur l'ordinateur local.
La deuxième commande supprime le journal des événements ZapLog.
La troisième commande répertorie de nouveau les journaux des événements. Le journal des événements ZapLog ne figure plus dans la liste.
Exemple 5
C:\PS>get-wmiobject win32_nteventlogfile -filter "logfilename='TestLog'" | foreach {$_.sources}
MyApp
TestApp
C:\PS> remove-eventlog -source MyApp
C:\PS> get-wmiobject win32_nteventlogfile -filter "logfilename='TestLog'} | foreach {$_.sources}
TestApp
Description
-----------
Ces commandes utilisent l'applet de commande Get-WmiObject pour répertorier les sources d'événement présentes sur l'ordinateur local. Vous pouvez utiliser ces commandes pour vérifier la réussite d'une commande ou pour supprimer une source d'événement.
La première commande obtient les sources d'événement du journal des événements TestLog présent sur l'ordinateur local. MyApp fait partie de ces sources.
La deuxième commande utilise le paramètre Source de Remove-EventLog pour supprimer la source d'événement MyApp.
La troisième commande est identique à la première. Elle indique que la source d'événement MyApp a été supprimée.
Voir aussi
Concepts
Clear-EventLog
Get-EventLog
Limit-EventLog
New-EventLog
Remove-EventLog
Show-EventLog
Write-EventLog
Get-WinEvent