Öffnen Sie die cmd-Eingabeaufforderung oder erstellen Sie ein Batch-Skript und "Als Admin ausführen":

for /f %x in ('wevtutil el') do wevtutil cl "%x"

Powershell-Code zum Löschen aller Ereignisprotokolle:

wevtutil el | Foreach-Object {Write-Host "Clearing $_"; wevtutil cl "$_"}

Oder wählen Sie in einem Skript:

wevtutil.exe cl Analytic
wevtutil.exe cl Application
wevtutil.exe cl DirectShowFilterGraph
wevtutil.exe cl DirectShowPluginControl
wevtutil.exe cl EndpointMapper
wevtutil.exe cl ForwardedEvents
wevtutil.exe cl HardwareEvents
wevtutil.exe cl Internet Explorer
wevtutil.exe cl Key Management Service
wevtutil.exe cl MF_MediaFoundationDeviceProxy
wevtutil.exe cl "Media Center"
wevtutil.exe cl MediaFoundationDeviceProxy
wevtutil.exe cl MediaFoundationPerformance
wevtutil.exe cl MediaFoundationPipeline
wevtutil.exe cl MediaFoundationPlatform
wevtutil.exe cl Microsoft-IE/Diagnostic
wevtutil.exe cl Microsoft-IEFRAME/Diagnostic
wevtutil.exe cl Microsoft-PerfTrack-IEFRAME/Diagnostic
wevtutil.exe cl Microsoft-PerfTrack-MSHTML/Diagnostic

Etc...

Sie können eine vollständige Liste aller Ereigniskategorienamen abrufen, indem Sie Folgendes in eine cmd-Eingabeaufforderung oder Powershell eingeben:

wevtutil el

Weitere Informationen finden Sie unter: MS TechNet. Beispiele:

Ereignisse aus dem Systemprotokoll exportieren nach C:\backup\system0506.evtx:

wevtutil epl System C:\backup\system0506.evtx

Löschen Sie alle Ereignisse aus dem Anwendungsprotokoll, nachdem Sie sie in gespeichert haben C:\admin\backups\a10306.evtx:

wevtutil cl Application /bu:C:\admin\backups\a10306.evtx

• Wevtutil ist ziemlich langsam, besonders wenn Sie alle Protokolle löschen (einschließlich leerer)

• Schnellste Lösung, die ich gefunden habe:

ForEach ( $l in ( Get-WinEvent * ).LogName | sort | get-unique ) {[System.Diagnostics.Eventing.Reader.EventLogSession]::GlobalSession.ClearLog("$l")}

Resul: "16 Ereignisse in 4 Protokollen gelöscht: 0.3684785 Sekunden"

Jeder Teil:

• Ruft nur Protokolle ab, die Ereignisse enthalten (es gibt doppelte LogNamen)

  ForEach ( $l in ( Get-WinEvent"* ).LogName | sort | get-unique )

• Jedes löschen one

  - System.Diagnose.Eventing.Leser.EventLogSession]:: GlobalSession.ClearLog( "$l" )

Volle Funktion:

function Clear-EventLogs
{
    Begin
    {
        $t1          = ( Measure-Command -Expression{ $active = ( Get-WinEvent ).LogName } ).TotalSeconds
        $totalEvents = $active.Count
        $active      = $active | Sort | Get-Unique
        $totalLogs   = $active.Count
    }
    Process
    {
        $t2 = ( Measure-Command -Expression{
            ForEach ( $l in $active )
            {
                [System.Diagnostics.Eventing.Reader.EventLogSession]::GlobalSession.ClearLog( "$l" )
                # ForEach-Object { Wevtutil.exe cl "$l" }
            }
        } ).TotalSeconds
    }
    End     { $t3 = $t1 + $t2; Write-Output "Cleared $totalEvents events in $totalLogs logs: $t3 seconds" }
}

Wenn Sie "Get-WinEvent : Die Daten sind ungültig" sehen, haben Sie das undokumentierte Hartlimit von 256 Protokollen erreicht. Möglicherweise müssen zuerst die Protokolle gefiltert werden. Im Folgenden werden nur die Protokolle mit Ereignissen ausgewählt (Gutschrift auf http://www.powershellish.com/blog/2015/01/19/get-winevent-max-logs/ für die Diagnose ):

$logs = Get-WinEvent -ListLog * | Where-Object {$_.RecordCount} | Select-Object -ExpandProperty LogName
ForEach ( $l in ( Get-WinEvent $logs ).LogName | sort | get-unique ) {[System.Diagnostics.Eventing.Reader.EventLogSession]::GlobalSession.ClearLog("$l")}

Es ist wichtig, die Delim-Option zu verwenden, wenn Sie Leerzeichen in den Namen haben:

WEVTUTIL EL > .\LOGLIST.TXT
for /f "delims=" %%a in ( .\LOGLIST.TXT ) do WEVTUTIL CL "%%a"

Sie können auch einfach alle Ereignisprotokolle deaktivieren, ohne den Ereignisprotokolldienst zu stoppen:

for /f "delims=" %%a in ('WEVTUTIL EL') do WEVTUTIL SL "%%a" /e:false

Natürlich wird dies nur tatsächlich installierte Software-Ereignisse deaktivieren, wenn Sie eine neue Software installieren, wird es die Protokollierung standardmäßig aktiviert haben. Aber gut, dass Sie den Taskplaner laufen lassen können, also tun Sie es einfach jeden Monat ; -)

Dies löscht übrigens alle Protokolldateien, die (abhängig von den vorherigen Einstellungen) ziemlich viel Speicherplatz freigeben können

WEVTUTIL EL > .\LOGLIST.TXT
for /f "delims=" %%a in ( .\LOGLIST.TXT ) do WEVTUTIL CL "%%a"
del .\LOGLIST.TXT
timeout 10

Ich habe verwendet .bat-Dateien, um es ein wenig einfacher, Log-Dateien zu löschen. Wählen Sie einfach das einfache Skript hier http://winaero.com/blog/how-to-clear-the-windows-event-log-from-the-command-line/

Kopiert von diesem Link.

@echo off
FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V
IF (%adminTest%)==(Access) goto noAdmin
for /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")
echo.
echo Event Logs have been cleared!
goto theEnd
:do_clear
echo clearing %1
wevtutil.exe cl %1
goto :eof
:noAdmin
echo You must run this script as an Administrator!
echo.
:theEnd

1. Öffnen Sie den Editor und kopieren Sie diesen Text hinein.

2. Speichern Sie es als Batch-Datei und geben Sie ihm einen beliebigen Namen, zum Beispiel: ClEvtLog.bat oder ClEvtLog.cmd.

3. Führen Sie es mit Administratorrechten aus.