Lendo um arquivo salvo com o Visualizar eventos de outro computador

O recurso Visualizar eventos permite ao usuário salvar os logs de eventos em um arquivo binário com a extensão EVT. Esse arquivo pode ser aberto com o Visualizador de eventos em qualquer outro computador executando a mesma versão do Windows NT.

Mesmo que o Visualizador de eventos seja capaz de carregar um arquivo, ele precisa as DLLs de mensagens para cada componente descrito a fonte de eventos.

Por exemplo, suponha que computador A é executando o Windows NT 4.0 e um serviço chamado "aservice". Nesse computador, salve os logs de eventos do sistema no arquivo System_A.evt. Agora suponhamos que computador que B também está executando Windows NT 4.0. O serviço "aservice" não foi instalado no computador B.

No computador B, você abre o arquivo System_A.evt com Visualizar eventos. Se clicar duas vezes em uma mensagem com a fonte definida como "aservice", você obterá o seguinte erro: Execute as etapas na próxima seção para ler os logs de eventos do computador A enquanto estiver no computador B sem ter que instalar os componentes do computador A computador B.

Arquivos EVT incluem as mensagens de log de eventos como elas são armazenadas pelo sistema. Cada mensagem é composta de uma identificação (ou seja, a própria mensagem) e um número de seqüências de caracteres de inserção. As identificações são convertidas em seqüências de caracteres através do uso de DLLs de mensagens.

Todas as aplicativo logs de eventos mensagens DLLs são definidas nas seguintes chaves do Registro:


Todos os logs de eventos mensagens de sistema DLLs são definidas nas seguintes chaves do Registro:


Por exemplo, a DLL de mensagem do serviço TCP/IP é definida sob a seguinte entrada do Registro:


Portanto, todas as mensagens de log de eventos de TCP/IP estão definidas no netevent.dll DLL.

Quando o usuário clica duas vezes um evento para o qual a DLL de mensagem não está definido no registro, a seqüência de mensagem não pode ser exibida e a seguinte mensagem é exibida: Abaixo é uma descrição de uma maneira de ler os logs de eventos sistema de um computador com o WINS em um computador sem o WINS. Este exemplo pode ser adaptado para qualquer aplicativo ou componente do sistema.

Aviso: Usar o Editor do Registro incorretamente pode causar problemas sérios no sistema que talvez exijam a reinstalação do Windows NT para corrigi-los. Microsoft não garante que problemas resultantes do uso do Editor do Registro possam ser solucionados. Use esta ferramenta de sua responsabilidade.

São necessárias as seguintes operações:

1. No computador com o WINS, execute REGEDIT e selecione a seguinte chave do Registro:
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ System\Wi
2. No menu Registro, clique em Exportar arquivo do Registro e selecione um nome de arquivo (por exemplo, Winsreg.reg).
3. No computador sem o WINS (por exemplo, aquele usado para ler os logs de eventos sistema do computador com o WINS), execute o REGEDIT. No menu Registro, clique em Importar arquivo do Registro e selecione o arquivo Winsreg.reg salvo anteriormente no outro computador.
4. Agora você deve ter a seguinte entrada do registro no computador de destino (ou seja, aquele sem o WINS):
   
   Key = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ EventLog\System\Wins Value = EventMessageFile REG_EXPAND_SZ %SystemRoot%\System32\ winsevnt.d
   
   
   Agora você precisará copiar o arquivo definido no valor do Registro EventMessageFile no diretório System32. Se a X: está mapeada para \\wins_server\admins$, você pode executar o comando a seguir:
   cópia x:\System32\winsevnt.dll %SystemRoot%\System32\winsevnt.dll
   
   Claro, o arquivo pode ser copiado em algum lugar outro, mas nesse caso você precise editar o valor de registro EventMessageFile manualmente para que ele aponta para o diretório com a DLL.
5. Feche todas as instâncias do Visualizador de eventos e execute novamente o recurso Visualizar eventos. Agora você deve conseguir despejar todos os eventos do WINS.