你目前正处于脱机状态,正在等待 Internet 重新连接

正在读取的文件的保存与另一台计算机的事件查看器

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 165959
本文已归档。它按“原样”提供,并且不再更新。
概要
在事件查看器使用户可以将事件日志保存在扩展名为 EVT 二进制 filewith。此类文件可以使用事件查看器 onany 打开另一台运行相同版本的 Windows NT 的计算机。

虽然事件查看器可以加载此类文件,它都需要为每个组件中的事件源介绍 themessages Dll。

例如,假设一个该计算机正在运行 Windows NT 4.0 和 servicecalled"aservice"。在此计算机上,将保存在 thefile System_A.evt 下的系统事件日志。现在,假设 B 也在运行 Windows NT4.0 该计算机。"Aservice"服务没有在计算机 B 上安装

在计算机 B 上,通过事件查看器打开该文件 System_A.evt。如果 youdouble 单击与源的消息设置为"aservice",您会收到您执行以下错误:
找不到源 (aservice) 中的事件 ID (xxx) 的说明。它包含下列插入字符串:...
按照下一节,而无需安装组件的计算机 Aonto B.读取一段时间在计算机 B 上的计算机的事件日志中的步骤
更多信息
EVT 文件包括存储系统的事件日志消息。插入字符串 ID (即,消息本身) anda 数由每条消息。Id 转换为在此日期使用字符串消息 Dll。

所有的应用程序事件日志消息 Dll 是在您执行以下注册表项下定义的:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ Application


所有系统事件日志消息 Dll 都定义下的 followingregistry 键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ System


例如,在您执行以下注册表项下定义的 TCP/IP 服务消息 DLL:
Key = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ System\TcpIp Value = EventMessageFile REG_EXPAND_SZ %SystemRoot%\System32\ netevent.d


因此,在 DLLnetevent.dll 中定义所有 TCP/IP 事件日志消息。

当用户双击的事件消息 DLL 的 notdefined 注册表中的时,无法显示消息字符串和您执行以下消息:
找不到源 (aservice) 中的事件 ID (51) 的说明。它包含下列插入字符串:...
下面是方法的没有 WINS 的计算机上阅读系统事件日志中的 computerwith WINS 的说明。此示例可以调整为 anyapplication 或系统组件。

警告: 注册表编辑器使用不当会导致严重的情况下,系统-wideproblems,可能会要求您重新安装 Windows NT 才能解决问题。Microsoft 不能保证,使用 ofRegistry,编辑器,可以解决任何问题。使用此工具,需要您自担风险。

下面的操作是必需的:
  1. 使用 WINS 的计算机,运行注册表编辑器,并选择以下注册表项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ System\Wi
  2. 在注册表菜单上,单击导出注册表文件,然后选择一个文件名 (例如,Winsreg.reg)。
  3. 在计算机上没有 WINS (例如,一个用于读取使用 WINS 的计算机的系统事件日志),运行注册表编辑器。在注册表菜单上,单击导入注册表文件,然后选择 Winsreg.reg 以前保存在另一台计算机的文件。
  4. 现在,您已将以下注册表项 (即,一个没有 WINS) 目标计算机上:
    Key = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ EventLog\System\Wins Value = EventMessageFile REG_EXPAND_SZ %SystemRoot%\System32\ winsevnt.d


    现在,您需要复制定义在 EventMessageFile 注册表值 System32 目录中的文件。如果 x: 映射到 \\wins_server\admins$,您可以运行下面的命令:
    复制 x:\System32\winsevnt.dll %SystemRoot%\System32\winsevnt.dll
    当然,该文件可被复制某处其他,但在这种情况下,您需要手动编辑 EventMessageFile 注册表值,以使其指向与该 DLL 目录。
  5. 关闭事件查看器的所有实例,然后重新运行事件查看器。您现在可以转储所有 WINS 事件。

警告:本文已自动翻译

属性

文章 ID:165959 - 上次审阅时间:12/04/2015 16:40:35 - 修订版本: 3.0

Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Workstation 4.0 开发员版

  • kbnosurvey kbarchive kbhowto kbnetwork kbmt KB165959 KbMtzh
反馈