Lesen einer Datei mit dem Ereignisprotokoll von einem anderen Computer gespeichert

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 165959 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Zusammenfassung

Die Ereignisanzeige ermöglicht dem Benutzer, die Ereignisprotokolle in eine binäre Datei mit der EVT-Erweiterung zu speichern. Eine solche Datei kann mit dem Ereignisprotokoll auf keinem anderen Computer mit der gleiche Version von Windows NT geöffnet werden.

Obwohl die Ereignisanzeige kann eine solche Datei geladen ist, werden die Nachrichten-DLLs für jede Komponente in der Quelle der Ereignisse beschrieben benötigt.

Genommen Sie an, dass Computer A Windows NT 4.0 und einen Dienst namens "Aservice" ausgeführt wird. Auf diesem Computer speichern Sie die Systemereignisprotokolle unter die Datei System_A.evt. Jetzt wird davon gegangen Sie aus, dass Computer B auch Windows NT 4.0 ausgeführt wird. Der Dienst "Aservice" wurde nicht auf Computer b installiert

Auf Computer B öffnen Sie die Datei System_A.evt, in der Ereignisanzeige. Wenn Sie eine Nachricht mit der Quelle legen Sie auf "Aservice" doppelklicken, erhalten Sie die folgende Fehlermeldung:
Die Beschreibung der EREIGNISKENNUNG (Xxx) in Quelle (Aservice) konnte nicht gefunden werden. Sie enthält folgende Einfügezeichenfolge(n):...
Schritte in den nächsten Abschnitt in die Ereignisprotokolle des Computers ein, während auf Computer B, ohne die Komponenten von Computer A auf Computer b zu installieren

Weitere Informationen

Sie vom System gespeichert sind, enthalten die EVT-Dateien die Ereignisprotokollmeldungen. Jede Nachricht besteht aus einer ID (d. h., die Nachricht selbst) und eine Reihe von Einfügezeichenfolgen. Die IDs werden in Zeichenfolgen mithilfe der Nachrichten DLLs übersetzt.

Alle Anwendung Ereignisprotokolle Nachrichten DLLs werden unter folgenden Registrierungsschlüsseln definiert:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ Application


Alle die Ereignisprotokolle Systemmeldungen DLLs werden unter folgenden Registrierungsschlüsseln definiert:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ System


Beispielsweise ist der TCP/IP-Dienst Nachrichten-DLL unter dem folgenden Registrierungseintrag definiert:
Key = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ System\TcpIp Value = EventMessageFile REG_EXPAND_SZ %SystemRoot%\System32\ netevent.d


Daher sind alle TCP/IP Ereignisprotokollnachrichten in der DLL-netevent.dll definiert.

Wenn der Benutzer auf ein Ereignis doppelklickt, für den die Meldungs-DLL nicht in der Registrierung definiert ist, die Meldungszeichenfolge kann nicht angezeigt werden, und die folgende Meldung angezeigt:
Die Beschreibung der EREIGNISKENNUNG (51) in Quelle (Aservice) konnte nicht gefunden werden. Sie enthält folgende Einfügezeichenfolge(n):...
Unten ist eine Beschreibung der Möglichkeit, lesen Sie die Systemereignisprotokolle eines Computers mit WINS auf einem Computer ohne WINS. In diesem Beispiel kann für jede Anwendung oder Systemkomponente angepasst sein.

Achtung: Durch das unkorrekte Verwendung des Registrierungseditors kann schwerwiegende, systemweite Probleme verursachen, die möglicherweise installieren Sie Windows NT zur Fehlerkorrektur erforderlich machen. Microsoft kann nicht garantieren, dass alle Probleme, die aus der Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie das Programm auf eigene Verantwortung.

Die folgenden Vorgänge sind erforderlich:
  1. Führen Sie auf dem Computer mit WINS REGEDIT, und wählen Sie den folgenden Registrierungsschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ System\Wi
  2. Im Menü Registrierung klicken Sie exportieren, und wählen Sie einen Dateinamen (z. B. Winsreg.reg).
  3. Führen Sie REGEDIT, auf den Computer ohne WINS (z. B. den Knoten verwendet, um die Systemereignisprotokolle des Computers mit WINS lesen). Im Menü Registrierung klicken Sie importieren, und wählen Sie die Datei Winsreg.reg zuvor auf dem anderen Computer gespeichert.
  4. Müsste nun den folgenden Registrierungseintrag auf dem Zielcomputer (d. h., die eine ohne WINS):
    Key = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ EventLog\System\Wins Value = EventMessageFile REG_EXPAND_SZ %SystemRoot%\System32\ winsevnt.d


    Jetzt müssen Sie die im Registrierungswert EventMessageFile im System32-Verzeichnis definierte Datei kopieren. Wenn x \\wins_server\admins$ zugeordnet ist, können Sie den folgenden Befehl ausführen:
    Kopie x:\System32\winsevnt.dll %SystemRoot%\System32\winsevnt.dll
    Natürlich, die Datei möglicherweise kopiert irgendwo else, jedoch in diesem Fall müssen Sie den Registrierungswert EventMessageFile manuell bearbeiten, sodass es auf das Verzeichnis mit der DLL verweist.
  5. Schließen Sie alle Instanzen der Ereignisanzeige und erneut von der Ereignisanzeige. Sie sollten jetzt alle WINS-Ereignisse ausgeben können.

Eigenschaften

Artikel-ID: 165959 - Geändert am: Mittwoch, 1. November 2006 - Version: 1.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Keywords: 
kbmt kbhowto kbnetwork KB165959 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 165959
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com