Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ereignisanzeige per Script löschen

Frage Microsoft

Mitglied: nitro99

nitro99 (Level 1) - Jetzt verbinden

04.04.2007, aktualisiert 05.04.2007, 11483 Aufrufe, 14 Kommentare

Hallo,

ist es möglich das Ereignisprotokoll per Script/Batch-Datei zu löschen?
Es handelt sich um WinXp pro Clients.
Mit PsTools kenne ich mich leider nicht aus.
Hat evtl. jemand eine Lösung oder einen Lösungsansatz?
Vieleicht gibt es ja ein Tool das ich via Batch starten kann!?

Über eine Rückantwort würde ich mich sehr freuen.

Gruß
Nitro99
Mitglied: bastla
04.04.2007 um 21:43 Uhr
Hallo nitro99 und willkommen im Forum!

Vielleicht hilft Dir der folgende Artikel - die Beispielprogramme/-scripts (auch für ein Backup vor dem Löschen) dazu kannst Du hier herunterladen.

Grüße
bastla
Bitte warten ..
Mitglied: nitro99
04.04.2007 um 21:54 Uhr
Hallo bastla,
danke fuer die Rueckantwort.
Leider kenne ich mich mit VB.Net nicht aus.
Ich suche eigentlich nur eine Batch ode ein VBS Script was mir alle Eintraege in der Ereignisanzeige loescht.

Gruss
nitro99
Bitte warten ..
Mitglied: bastla
04.04.2007 um 22:15 Uhr
Hallo nitro99!

Wenn Du Dir ein paar Sekunden mehr Zeit nimmst, wirst Du sehen, dass es in dem Artikel die Lösungen jeweils auch als VBScript gibt ...

Grüße
bastla
Bitte warten ..
Mitglied: nitro99
04.04.2007 um 22:58 Uhr
Hallo bastla,

ich hab folgendes versucht:

Again, here is the VBScript version, which would be very similar to the Visual Basic.NET version:

strComputer = "."
Set objWMIService = GetObject("winmgmts:\\" & strComputer &
"\root\CIMV2")
Set objShare = objWMIService.Get
("Win32_NTEventlogFile.Name='C:\WINDOWS\system32
\config\AppEvent.Evt'")
Set objInParam = objShare.Methods_("ClearEventlog"). _
inParameters.SpawnInstance_()
Set objOutParams = objWMIService.ExecMethod
("Win32_NTEventlogFile.Name='C:\WINDOWS\system32
\config\AppEvent.Evt'", "ClearEventlog", objInParam)
Wscript.echo "ReturnValue: " & objOutParams.ReturnValue

Ich habe das ganze als .VBS abgespeichert und bekomme dann folgende Fehlermeldung:

Zeile:2
Fehler:Syntaxfehler
Code:800A03EA
Quelle: Kompilierungsfehler in MS VBScript

Gruss
nitro99
Bitte warten ..
Mitglied: Biber
04.04.2007 um 23:16 Uhr
Moin nitro99,

im Moment ist die Codeformatierung wegen eines Releasewechsels noch etwas suboptimal.

Kannst Du die insgesamt 6 Zeilen in Deinem Editor mal auf genau 6 Zeilen bringen?
Du hast ein paar Zeilenumbrueche zuviel.

1strComputer = "."
2Set objWMIService = GetObject("winmgmts:\\" & strComputer &"\root\CIMV2")
3Set objShare = objWMIService.Get("Win32_NTEventlogFile.Name='C:\WINDOWS\system32\config\AppEvent.Evt'")
4Set objInParam = objShare.Methods_("ClearEventlog").inParameters.SpawnInstance_()
5Set objOutParams = objWMIService.ExecMethod("Win32_NTEventlogFile.Name='C:\WINDOWS\system32\config\AppEvent.Evt'", "ClearEventlog", objInParam)
6Wscript.echo "ReturnValue: " & objOutParams.ReturnValue
[behelfsmaessig von 1-6 nummeriert.]

Ach ja, und ueberpruefe ob der %windir%-Pfad bei Dir auch "c:\windows\" ist..
Gruss
Biber
Bitte warten ..
Mitglied: bastla
04.04.2007 um 23:17 Uhr
Hallo nitro99!

Es fehlen an einigen Zeilenenden die verbindenden Grundstriche (" _"); so müsste es aber gehen:
01.
strComputer = "." 
02.
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\CIMV2") 
03.
Set objShare = objWMIService.Get("Win32_NTEventlogFile.Name='C:\WINDOWS\system32\config\AppEvent.Evt'") 
04.
Set objInParam = objShare.Methods_("ClearEventlog").inParameters.SpawnInstance_() 
05.
Set objOutParams = objWMIService.ExecMethod("Win32_NTEventlogFile.Name='C:\WINDOWS\system32\config\AppEvent.Evt'", "ClearEventlog", objInParam) 
06.
Wscript.echo "ReturnValue: " & objOutParams.ReturnValue
Falls Du übrigens außer dem Log "Anwendung" (= "AppEvent") auch noch "System" bzw "Sicherheit" löschen möchtest, müsstest Du dafür "SysEvent" bzw "SecEvent" einsetzen (Zeilen 3 und 5).

Grüße
bastla
Bitte warten ..
Mitglied: nitro99
05.04.2007 um 08:46 Uhr
Hallo,

danke für die Infos.
das Script ist klasse.
Mit dem Eventlogs "Anwendungen" und "System" funktioniert das ohne Probleme.
Aber mit Sicherheit bekomme ich folgende Fehlermeldung:

Zeile: 5
Zeichen: 1
Fehler:Zugriff verweigert.
Code: 80041003
Quelle: SWbemServicesEx

kann mir vieleicht einer auf die Sprünge helfen
Gruß
nitro99
Bitte warten ..
Mitglied: Iwan
05.04.2007 um 08:47 Uhr
ist es damit auch möglich, nur Ereignisse älter als 3 Tage zu löschen?
finde leider Hilfe dazu und bin in VBS nicht so bewandert
Bitte warten ..
Mitglied: Biber
05.04.2007 um 10:25 Uhr
@Iwan
ist es damit auch möglich, nur Ereignisse älter als 3 Tage zu löschen?
Nein - im Design nicht vorgesehen. Ein ClearEventLog ist ganz oder gar nicht.

@nitro99
Aber mit Sicherheit bekomme ich ....Fehler:Zugriff verweigert.

Natürlich. Was hätte diese Sicherheits-Event-Loggerei für einen Sinn, wenn jeder diese Einträge löschen kann?
Und wenn es eine möglichkeit geben sollte, diese Einträge verdampfen zu lassen, dann sollte sie nicht unbedingt hier öffentlich gepostet werden.

Gruss
Biber
Bitte warten ..
Mitglied: nitro99
05.04.2007 um 10:30 Uhr
@nitro99
> Aber mit Sicherheit bekomme ich
....Fehler:Zugriff verweigert.

Natürlich. Was hätte diese
Sicherheits-Event-Loggerei für einen
Sinn, wenn jeder diese Einträge
löschen kann?
Und wenn es eine möglichkeit geben
sollte, diese Einträge verdampfen zu
lassen, dann sollte sie nicht unbedingt hier
öffentlich gepostet werden.

Gruss
Biber


Hallo Biber,

es soll nicht jeder die Einträge löschen.
Nur die Administratoren sollen dies dürfen.

Gruß
Lucky
Bitte warten ..
Mitglied: Biber
05.04.2007 um 11:03 Uhr
Auch die Admins sollten das IMHO nicht automatisch dürfen... aber vielleicht sehe ich das zu eng.

Nun denn, denn ändere oben Zeile 2 und 3 in
Set objWMIService =GetObject("winmgmts:{impersonationLevel=impersonate,(Security,Backup)}").ExecQuery("select * from Win32_NTEventLogFile")

...dann sollte es gehen.

Gruss
Biber
Bitte warten ..
Mitglied: nitro99
05.04.2007 um 12:02 Uhr

Nun denn, denn ändere oben Zeile 2 und
3 in
> Set objWMIService
=GetObject("winmgmts:{impersonationLevel=impersonate,(Security,Backup)}").ExecQuery("select
  • from Win32_NTEventLogFile")

...dann sollte es gehen.


Hallo,

irgendwie mache ich was falsch...
Leider bekomme ich einen Laufzeitfehler.
Ich habe das Script wie folgt angepasst:

strComputer = "."
Set objWMIService =GetObject("winmgmts:{impersonationLevel=impersonate,(Security,Backup)}").ExecQuery("select * from Win32_NTEventLogFile")
Set objWMIService =GetObject("winmgmts:{impersonationLevel=impersonate,(Security,Backup)}").ExecQuery("select * from Win32_NTEventLogFile")
Set objInParam = objShare.Methods_("ClearEventlog").inParameters.SpawnInstance_()
Set objOutParams = objWMIService.ExecMethod("Win32_NTEventlogFile.Name='C:\WINDOWS\system32\config\AppEvent.Evt'", "ClearEventlog", objInParam)
Wscript.echo "ReturnValue: " & objOutParams.ReturnValue


Zeile 2 und 3 habe ich geändert.

Gruß
Lucky
Bitte warten ..
Mitglied: Biber
05.04.2007 um 13:40 Uhr
01.
Set objWMIService =GetObject("winmgmts:{impersonationLevel=impersonate,(Security,Backup)}").ExecQuery("select * from Win32_NTEventLogFile") 
02.
'objWMIService.ClearEventLog()
Das sollte reichen. Sehe mit bloßem Auge keinen Tipp/Denkfehler.

Traue mich aber nicht, das an meinem Rechner auszuprobieren (sonst sind ja EventLogs wech ).
Im Zweifelsfall auf bastla warten.

Gruss
Biber
Bitte warten ..
Mitglied: bastla
05.04.2007 um 14:07 Uhr
Bin ja schon da.

Vorläufig endgültige Fassung:
01.
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate,(Security,Backup)}") 
02.
Set objShare = objWMIService.Get("Win32_NTEventlogFile.Name='C:\WINNT\system32\config\SecEvent.Evt'") 
03.
Set objInParam = objShare.Methods_("ClearEventlog").inParameters.SpawnInstance_() 
04.
Set objOutParams = objWMIService.ExecMethod("Win32_NTEventlogFile.Name='C:\WINNT\system32\config\SecEvent.Evt'", "ClearEventlog", objInParam)
Hinweis: 4 Zeilen, jede beginnt mit Set, und sowohl in Zeile 2 als auch in Zeile 4 steht SecEvent.Evt.

Grüße
bastla
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Batch & Shell
gelöst Poweshell Script soll String ersetzen und die leere Zeile löschen (4)

Frage von Mars123 zum Thema Batch & Shell ...

Microsoft
Windows 10 logon script: alle Apps löschen (3)

Frage von thomasreischer zum Thema Microsoft ...

Microsoft Office
Microsoftaccount löschen (1)

Frage von Kroni99 zum Thema Microsoft Office ...

Batch & Shell
gelöst PowerShell Script Move-Item nach x Tagen (5)

Frage von lupolo zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...