Lendo um arquivo salvo com o Visualizar eventos de outro computador

Traduções deste artigo Traduções deste artigo
ID do artigo: 165959 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Sumário

O recurso Visualizar eventos permite ao usuário salvar os logs de eventos em um arquivo binário com a extensão EVT. Esse arquivo pode ser aberto com o Visualizador de eventos em qualquer outro computador executando a mesma versão do Windows NT.

Mesmo que o Visualizador de eventos seja capaz de carregar um arquivo, ele precisa as DLLs de mensagens para cada componente descrito a fonte de eventos.

Por exemplo, suponha que computador A é executando o Windows NT 4.0 e um serviço chamado "aservice". Nesse computador, salve os logs de eventos do sistema no arquivo System_A.evt. Agora suponhamos que computador que B também está executando Windows NT 4.0. O serviço "aservice" não foi instalado no computador B.

No computador B, você abre o arquivo System_A.evt com Visualizar eventos. Se clicar duas vezes em uma mensagem com a fonte definida como "aservice", você obterá o seguinte erro:
A descrição para Event ID (xxx) na origem (aservice) não foi encontrada. Ele contém as seguintes seqüências de inserção:...
Execute as etapas na próxima seção para ler os logs de eventos do computador A enquanto estiver no computador B sem ter que instalar os componentes do computador A computador B.

Mais Informações

Arquivos EVT incluem as mensagens de log de eventos como elas são armazenadas pelo sistema. Cada mensagem é composta de uma identificação (ou seja, a própria mensagem) e um número de seqüências de caracteres de inserção. As identificações são convertidas em seqüências de caracteres através do uso de DLLs de mensagens.

Todas as aplicativo logs de eventos mensagens DLLs são definidas nas seguintes chaves do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ Application


Todos os logs de eventos mensagens de sistema DLLs são definidas nas seguintes chaves do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ System


Por exemplo, a DLL de mensagem do serviço TCP/IP é definida sob a seguinte entrada do Registro:
Key = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ System\TcpIp Value = EventMessageFile REG_EXPAND_SZ %SystemRoot%\System32\ netevent.d


Portanto, todas as mensagens de log de eventos de TCP/IP estão definidas no netevent.dll DLL.

Quando o usuário clica duas vezes um evento para o qual a DLL de mensagem não está definido no registro, a seqüência de mensagem não pode ser exibida e a seguinte mensagem é exibida:
A descrição para Event ID (51) na origem (aservice) não foi encontrada. Ele contém as seguintes seqüências de inserção:...
Abaixo é uma descrição de uma maneira de ler os logs de eventos sistema de um computador com o WINS em um computador sem o WINS. Este exemplo pode ser adaptado para qualquer aplicativo ou componente do sistema.

Aviso: Usar o Editor do Registro incorretamente pode causar problemas sérios no sistema que talvez exijam a reinstalação do Windows NT para corrigi-los. Microsoft não garante que problemas resultantes do uso do Editor do Registro possam ser solucionados. Use esta ferramenta de sua responsabilidade.

São necessárias as seguintes operações:
  1. No computador com o WINS, execute REGEDIT e selecione a seguinte chave do Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ System\Wi
  2. No menu Registro, clique em Exportar arquivo do Registro e selecione um nome de arquivo (por exemplo, Winsreg.reg).
  3. No computador sem o WINS (por exemplo, aquele usado para ler os logs de eventos sistema do computador com o WINS), execute o REGEDIT. No menu Registro, clique em Importar arquivo do Registro e selecione o arquivo Winsreg.reg salvo anteriormente no outro computador.
  4. Agora você deve ter a seguinte entrada do registro no computador de destino (ou seja, aquele sem o WINS):
    Key = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ EventLog\System\Wins Value = EventMessageFile REG_EXPAND_SZ %SystemRoot%\System32\ winsevnt.d


    Agora você precisará copiar o arquivo definido no valor do Registro EventMessageFile no diretório System32. Se a X: está mapeada para \\wins_server\admins$, você pode executar o comando a seguir:
    cópia x:\System32\winsevnt.dll %SystemRoot%\System32\winsevnt.dll
    Claro, o arquivo pode ser copiado em algum lugar outro, mas nesse caso você precise editar o valor de registro EventMessageFile manualmente para que ele aponta para o diretório com a DLL.
  5. Feche todas as instâncias do Visualizador de eventos e execute novamente o recurso Visualizar eventos. Agora você deve conseguir despejar todos os eventos do WINS.

Propriedades

ID do artigo: 165959 - Última revisão: quarta-feira, 1 de novembro de 2006 - Revisão: 1.1
A informação contida neste artigo aplica-se a:
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Palavras-chave: 
kbmt kbhowto kbnetwork KB165959 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 165959

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com