Im Serverumfeld kommt es regelmäßig vor das die Option „Volles Protokoll archivieren,
Ereignisse nicht überschreiben“ gesetzt wird.
Genauso reglmäßig stolpere ich über Maschinen, die zum Teil bis zu 10 GB dieser archivierten Ereignisprotokolle im Log Verzeichnis haben.
Dabei ist es sehr simpel diese Archive aufzuspühren und zu löschen,
beispielsweise mit diesem Codeschnipsel:
$days = 7
$now = Get-Date
$lastWrite = $now.AddDays(-$days)
$servers = Get-Content D:\server.txt
$filter = "Archive*.evtx"
foreach ($server in $servers)
{
Get-ChildItem "\\$server\C$\Windows\System32\winevt\Logs"
| Where-Object ({$_.Name -like $filter} -and {$_.LastWriteTime -lt $lastWrite})
| Remove-Item -Force
}
Ich hoffe dem ein oder anderen hilft dieses Script bei der täglichen Arbeit!
Vielen Dank.