Чтение файла, сохраненного с помощью средства просмотра событий другого компьютера

Переводы статьи Переводы статьи
Код статьи: 165959 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

Аннотация

В окне просмотра событий позволяет пользователям сохранять журналы событий в двоичный файл с расширением EVT. Такой файл можно открыть с помощью средства просмотра событий на любой другой компьютер под управлением той же версии Windows NT.

Несмотря на то, что в окне просмотра событий позволяет загрузить этот файл, он должен DLL сообщений для каждого компонента, описываемые в источнике события.

Например, предположим, компьютер a работает под управлением Windows NT 4.0 и службы называемых «aservice». На этом компьютере, сохраните журналы системных событий под файл System_A.evt. Теперь предположим, что этот компьютер b также работает под управлением Windows NT 4.0. Служба «aservice» не была установлена на компьютере б.

На компьютере откройте файл System_A.evt с помощью средства просмотра событий. Если вы Дважды щелкните сообщение с источником значение "aservice", вы получаете следующее сообщение об ошибке:
Описание события с кодом (xxx) в источнике (aservice) не удается. найдено. Он содержит следующие набором вставки:...
Выполните действия, описанные в следующем разделе чтение журналов событий компьютера a Хотя на компьютере b без установки компонентов компьютера a на компьютер B.

Дополнительная информация

EVT файлы включают сообщения журнала событий, хранящихся в системы. Каждое сообщение состоит из Идентификатора (то есть само сообщение) и Число вставляемых строк. Идентификаторы, преобразуются в строки с помощью Использование библиотек DLL сообщений.

Все события приложения ведется журнал сообщений, DLL, определяются в следующие разделы реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ приложение


В следующем разделе определяются все системные журналы событий сообщения библиотек DLL разделы реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ системы


Например, сообщения службы TCP/IP, DLL определяется в разделе Следующий параметр реестра:
Ключ = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ System\TcpIp Значение = netevent.d %SystemRoot%\System32\ REG_EXPAND_SZ файл сообщений о событиях


Таким образом все сообщения журнала событий TCP/IP определяются в библиотеке DLL netevent.dll.

Когда пользователь дважды щелкает событие, для которого сообщений DLL не определенные в реестре строку сообщения невозможно и появляется следующее сообщение:
Описание события с кодом (51) в источнике (aservice) не удается. найдено. Он содержит следующие набором вставки:...
Ниже приводится описание способов читать журналы событий системы компьютера с помощью службы WINS на компьютере без службы WINS. В этом примере могут быть приспособлены для любого компонент системы или приложения.

Предупреждение: Неправильное использование редактора реестра может привести к серьезным проблемам, системные неполадки и потребовать переустановки Windows NT для их исправления. Корпорация Майкрософт не может гарантировать, что любые проблемы, вызванные использованием Редактор реестра может быть решена. Это средство можно используйте на свой страх и риск.

Требуются следующие операции:
  1. На компьютере с помощью службы WINS запустите редактор РЕЕСТРА и выделите следующий параметр реестра ключ:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ System\Wi
  2. В меню Реестр выберите команду Экспорт файла реестра и выберите файл имя (например, Winsreg.reg).
  3. На компьютере без WINS (например, используемому для чтения журналы системных событий компьютера, с помощью WINS), запустите редактор РЕЕСТРА. На Меню Реестр выберите Импорт файла реестра и выберите файл Winsreg.reg, сохраненные ранее на другом компьютере.
  4. Теперь должна появиться следующий параметр реестра на конечном компьютере (то есть, один без WINS):
    Ключ = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ EventLog\System\Wins Значение = winsevnt.d %SystemRoot%\System32\ REG_EXPAND_SZ файл сообщений о событиях


    Теперь вам необходимо скопировать файл, определенные в реестре файл сообщений о событиях значение в каталоге System32. Если сопоставить X: \\wins_server\admins$, выполните следующую команду:
    Скопируйте x:\System32\winsevnt.dll %SystemRoot%\System32\winsevnt.dll
    Конечно могут быть скопированы где-нибудь в противном случае файл, но в данном случае вы можно изменить значение реестра файл сообщений о событиях вручную так что он Указывает каталог с библиотекой DLL.
  5. Закройте все окна просмотра событий и запустите программу просмотра событий. Теперь можно сделать дамп всех событий WINS.

Свойства

Код статьи: 165959 - Последний отзыв: 3 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Ключевые слова: 
kbhowto kbnetwork kbmt KB165959 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:165959

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com