讀取檔案,與另一台電腦的 「 事件檢視器 」 一起儲存

文章翻譯 文章翻譯
文章編號: 165959 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

結論

「 事件檢視器 」 可讓使用者將事件記錄檔儲存在副檔名為 EVT 二進位檔案。這類檔案可以使用在任何其他執行相同版本的 Windows NT 的電腦上的 「 事件檢視器 」 來開啟。

雖然 「 事件檢視器 」 是可以載入這類檔案,它所需要訊息 DLL 中的事件來源描述每一個元件。

比方說,假設 A 正在執行 Windows NT 4.0 和服務,稱為 aservice 」 該電腦。在這台電腦上儲存系統事件記錄檔檔案 System_A.evt 之下。現在假設 B 也執行 Windows NT 4.0 的電腦。服務"aservice 」 尚未安裝在電腦 B。

在 B 電腦,請使用 [事件檢視器開啟檔案 System_A.evt。如果您按兩下訊息與來源設定為 [aservice",您會收到下列錯誤:
找不到來源 (aservice) 中的事件識別碼 (xxx) 的描述。它包含了下列插入字串:...
請依照下一節來讀取電腦 A 電腦 B 上的事件記錄檔,而無須將安裝元件的電腦 A 到電腦 B。

其他相關資訊

EVT 檔案包含事件日誌訊息由系統儲存。每一封郵件是由 (也就是訊息本身) 的 ID 和數量插入字串所組成。「 編號 」 會轉譯成透過訊息 DLL 的使用的字串。

所有應用程式事件日誌訊息 DLL 被定義在下列登錄機碼下:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ Application


所有系統事件日誌訊息 DLL 被都定義在下列登錄機碼下:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ System


比方說 TCP/IP 服務訊息 DLL 會定義在下列登錄項目之下:
Key = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ System\TcpIp Value = EventMessageFile REG_EXPAND_SZ %SystemRoot%\System32\ netevent.d


因此,DLL netevent.dll 中定義所有 TCP/IP 事件日誌訊息。

當使用者按兩下訊息 DLL 未定義在登錄中的事件時,無法顯示訊息字串,而且會顯示下列訊息:
找不到來源 (aservice) 中的事件識別碼 (51) 的描述。它包含了下列插入字串:...
以下是讀取系統事件日誌與 WINS 電腦,而不需 WINS 電腦上的一種方式的描述。這個範例可以是適用的任何應用程式或系統元件。

警告: 不當使用 「 登錄編輯器 」 可能會導致嚴重的全系統的問題,可能必須重新安裝 Windows NT 以更正。 Microsoft 無法保證任何因使用登錄編輯程式所造成的問題可以獲得解決。使用此工具,請自行負擔相關的風險。

必須要有下列作業:
  1. 在具有 WINS 電腦,執行 REGEDIT,然後選取下列登錄機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ System\Wi
  2. 在 [登錄] 功能表上按一下 [匯出登錄檔案,然後選取檔案名稱 (比方說 Winsreg.reg)。
  3. WINS (比方說一個用來讀取 WINS 與電腦的系統事件日誌) 沒有電腦,執行 REGEDIT。在 [登錄] 功能表上按一下 [匯入登錄檔案],然後選取 Winsreg.reg 先前儲存在另一台電腦檔案]。
  4. 現在您應該有下列的登錄項目在目標電腦上 (也就是沒有 WINS 的那一個):
    Key = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ EventLog\System\Wins Value = EventMessageFile REG_EXPAND_SZ %SystemRoot%\System32\ winsevnt.d


    您現在必須複製 EventMessageFile 登錄值,在您的 System32 目錄中定義的檔案。如果 X: 對應到 \\wins_server\admins$,您可以執行下列命令:
    複製 x:\System32\winsevnt.dll %SystemRoot%\System32\winsevnt.dll
    當然檔案可能會複製某處 else,但是在這種情況下您需要以手動方式編輯 EventMessageFile 登錄值,以便其指向目錄中,以 DLL。
  5. 關閉 「 事件檢視器 」 的所有執行個體,然後重新執行 「 事件檢視器 」。 您現在應該可以傾印所有 WINS 事件。

屬性

文章編號: 165959 - 上次校閱: 2006年11月1日 - 版次: 1.1
這篇文章中的資訊適用於:
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
關鍵字:?
kbmt kbhowto kbnetwork KB165959 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:165959
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com