Đọc một tập tin được lưu với bộ xem sự kiện của máy tính khác

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:165959
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
TÓM TẮT
Trình xem sự kiện cho phép người dùng để lưu các bản ghi sự kiện trong một tập tin nhị phânphần mở rộng EVT. Một tập tin có thể được mở ra với bộ xem sự kiện ngàybất kỳ máy tính khác chạy cùng một phiên bản của Windows NT.

Mặc dù bộ xem sự kiện có thể tải một tập tin, nó cần cáctin nhắn DLLs cho mỗi thành phần được mô tả trong mã nguồn của các sự kiện.

Ví dụ, giả sử a máy tính đó chạy Windows NT 4.0 và một dịch vụđược gọi là "aservice". Trên máy tính này, lưu bản ghi sự kiện hệ thống dưới cáctệp System_A.evt. Bây giờ giả sử rằng máy tính b cũng đang chạy Windows NT4,0. Dịch vụ "aservice" đã không được cài đặt trên máy tính B.

Trên máy tính B, bạn mở tệp System_A.evt bằng trình xem sự kiện. Nếu bạnbấm đúp vào một tin nhắn với nguồn thiết lập để "aservice", bạn sẽ có được cáclỗi sau:
Các mô tả cho tổ chức sự kiện ID (xxx) trong mã nguồn (aservice) không thể tìm thấy. Nó chứa string(s) chèn sau đây:...
Làm theo các bước trong phần tiếp theo để đọc các bản ghi sự kiện của máy tính atrong khi trên máy tính b mà không cần phải cài đặt các thành phần của máy tính avào máy tính B.
THÔNG TIN THÊM
Các tập tin EVT bao gồm các thông điệp ghi lưu sự kiện vì chúng được lưu trữ bởi cáchệ thống. Mỗi thư gồm có một ID (có nghĩa là, các thông báo chính nó) vàmột số chèn chuỗi. Các ID được dịch thành chuỗi thông quasử dụng tin nhắn DLLs.

Tất cả các sự kiện này ứng dụng các bản ghi thư DLLs được định nghĩa theo cáckhóa registry sau đây:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ ứng dụng


Tất cả các hệ thống bản ghi sự kiện thư DLLs được định nghĩa dưới đâykhóa registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ hệ thống


Ví dụ, dịch vụ TCP/IP thư DLL được định nghĩa theo cácmục đăng ký sau đây:
Key = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ System\TcpIp Giá trị = EventMessageFile REG_EXPAND_SZ %SystemRoot%\System32\ netevent.d


Vì vậy, tất cả các thông điệp ghi lưu sự kiện TCP/IP được định nghĩa trong DLLnetevent.dll.

Khi người dùng double-clicks một sự kiện mà thư DLL không phải làđược xác định trong sổ đăng ký, thư chuỗi không thể hiển thị và cácthông báo sau đây sẽ được hiển thị:
Các mô tả cho tổ chức sự kiện ID (51) trong mã nguồn (aservice) không thể tìm thấy. Nó chứa string(s) chèn sau đây:...
Dưới đây là một mô tả của một cách khác để đọc Nhật ký sự kiện hệ thống máy tínhvới thắng trên một máy tính mà không cần thắng. Mẫu này có thể được điều chỉnh cho bất kỳứng dụng hoặc hệ thống thành phần.

Cảnh báo: Bằng cách sử dụng Registry Editor không đúng có thể gây ra nghiêm trọng, toàn hệ thốngcác vấn đề mà có thể yêu cầu bạn phải cài đặt lại Windows NT để sửa chữa chúng.Microsoft không thể đảm bảo rằng bất kỳ vấn đề phát sinh từ việc sử dụngBiên tập viên đăng ký có thể được giải quyết. Sử dụng công cụ này nguy cơ của riêng bạn.

Caùc thao taùc sau được yêu cầu:
  1. Trên máy tính với thắng, chạy REGEDIT và chọn registry sau khóa:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ System\Wi
  2. Trên trình đơn đăng ký, bấm Export Registry File và chọn một tập tin tên (ví dụ, Winsreg.reg).
  3. Trên máy tính mà không cần thắng (ví dụ, một trong những sử dụng để đọc các bản hệ thống ghi sự kiện của máy tính với thắng), chạy REGEDIT. Trên các Đăng ký trình đơn, nhấp vào nhập khẩu Registry File và chọn tập tin Winsreg.reg trước đó được lưu trên máy tính khác.
  4. Bây giờ bạn nên có các mục nhập registry sau trên máy tính mục tiêu (có nghĩa là, những ai không thắng):
    Key = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ EventLog\System\Wins Giá trị = EventMessageFile REG_EXPAND_SZ %SystemRoot%\System32\ winsevnt.d


    Bây giờ bạn cần phải sao chép các tập tin được xác định trong sổ đăng ký EventMessageFile giá trị của bạn thư mục System32. Nếu X: là ánh xạ tới \\wins_server\admins$, bạn có thể chạy lệnh sau:
    bản sao x:\System32\winsevnt.dll %SystemRoot%\System32\winsevnt.dll
    Tất nhiên, các tập tin có thể được sao chép một nơi nào đó khác, nhưng trong trường hợp này bạn cần phải chỉnh sửa giá trị đăng ký EventMessageFile thủ công như vậy là nó điểm vào thư mục với DLL.
  5. Đóng tất cả các trường hợp của Event Viewer và chạy lại trình xem sự kiện. Bạn nên bây giờ có thể đổ tất cả những sự kiện thắng.

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 165959 - Xem lại Lần cuối: 12/04/2015 16:40:35 - Bản sửa đổi: 2.0

Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Workstation 4.0 Developer Edition

  • kbnosurvey kbarchive kbhowto kbnetwork kbmt KB165959 KbMtvi
Phản hồi