正在读取的文件的保存与另一台计算机的事件查看器

文章翻译 文章翻译
文章编号: 165959 - 查看本文应用于的产品
展开全部 | 关闭全部

概要

在事件查看器使用户可以将事件日志保存在扩展名为 EVT 二进制 filewith。此类文件可以使用事件查看器 onany 打开另一台运行相同版本的 Windows NT 的计算机。

虽然事件查看器可以加载此类文件,它都需要为每个组件中的事件源介绍 themessages Dll。

例如,假设一个该计算机正在运行 Windows NT 4.0 和 servicecalled"aservice"。在此计算机上,将保存在 thefile System_A.evt 下的系统事件日志。现在,假设 B 也在运行 Windows NT4.0 该计算机。"Aservice"服务没有在计算机 B 上安装

在计算机 B 上,通过事件查看器打开该文件 System_A.evt。如果 youdouble 单击与源的消息设置为"aservice",您会收到您执行以下错误:
找不到源 (aservice) 中的事件 ID (xxx) 的说明。它包含下列插入字符串:...
按照下一节,而无需安装组件的计算机 Aonto B.读取一段时间在计算机 B 上的计算机的事件日志中的步骤

更多信息

EVT 文件包括存储系统的事件日志消息。插入字符串 ID (即,消息本身) anda 数由每条消息。Id 转换为在此日期使用字符串消息 Dll。

所有的应用程序事件日志消息 Dll 是在您执行以下注册表项下定义的:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ Application


所有系统事件日志消息 Dll 都定义下的 followingregistry 键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ System


例如,在您执行以下注册表项下定义的 TCP/IP 服务消息 DLL:
Key = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ System\TcpIp Value = EventMessageFile REG_EXPAND_SZ %SystemRoot%\System32\ netevent.d


因此,在 DLLnetevent.dll 中定义所有 TCP/IP 事件日志消息。

当用户双击的事件消息 DLL 的 notdefined 注册表中的时,无法显示消息字符串和您执行以下消息:
找不到源 (aservice) 中的事件 ID (51) 的说明。它包含下列插入字符串:...
下面是方法的没有 WINS 的计算机上阅读系统事件日志中的 computerwith WINS 的说明。此示例可以调整为 anyapplication 或系统组件。

警告: 注册表编辑器使用不当会导致严重的情况下,系统-wideproblems,可能会要求您重新安装 Windows NT 才能解决问题。Microsoft 不能保证,使用 ofRegistry,编辑器,可以解决任何问题。使用此工具,需要您自担风险。

下面的操作是必需的:
  1. 使用 WINS 的计算机,运行注册表编辑器,并选择以下注册表项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ System\Wi
  2. 在注册表菜单上,单击导出注册表文件,然后选择一个文件名 (例如,Winsreg.reg)。
  3. 在计算机上没有 WINS (例如,一个用于读取使用 WINS 的计算机的系统事件日志),运行注册表编辑器。在注册表菜单上,单击导入注册表文件,然后选择 Winsreg.reg 以前保存在另一台计算机的文件。
  4. 现在,您已将以下注册表项 (即,一个没有 WINS) 目标计算机上:
    Key = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ EventLog\System\Wins Value = EventMessageFile REG_EXPAND_SZ %SystemRoot%\System32\ winsevnt.d


    现在,您需要复制定义在 EventMessageFile 注册表值 System32 目录中的文件。如果 x: 映射到 \\wins_server\admins$,您可以运行下面的命令:
    复制 x:\System32\winsevnt.dll %SystemRoot%\System32\winsevnt.dll
    当然,该文件可被复制某处其他,但在这种情况下,您需要手动编辑 EventMessageFile 注册表值,以使其指向与该 DLL 目录。
  5. 关闭事件查看器的所有实例,然后重新运行事件查看器。您现在可以转储所有 WINS 事件。

属性

文章编号: 165959 - 最后修改: 2014年2月9日 - 修订: 3.0
这篇文章中的信息适用于:
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 开发员版
关键字:?
kbhowto kbnetwork kbmt KB165959 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 165959
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com