我一直在网上搜索,似乎无法找到一个好的答案。 我有点了解原因,但需要一些解决方案的帮助。
我使用以下命令导出Windows系统日志。我希望/需要它们采用evtx格式供以后使用。
wevtutil epl system c:\SystemEvents.evtx
目标是将它们发送给不会在同一台服务器上查看它们的其他人。 这当然导致完整事件文本不是导出日志的一部分,用户将看到如下内容:
源Server Administrator中的事件ID XXX的说明 无法找到。引发此事件的组件不是 安装在本地计算机上或安装已损坏。您 可以在本地计算机上安装或修复组件。
如果事件源自另一台计算机,则显示信息 不得不与事件一起得救。
活动中包含以下信息:
我正在读这页: http://technet.microsoft.com/en-us/library/cc749339%28WS.10%29.aspx
并在其中找到了这段信息:
要对远程计算机上记录的事件进行故障排除,您必须这样做 使用显示信息导出和存档日志。显示器 已保存事件的信息存储在LocaleMetaData中 文件夹和时应该与日志信息一起移动 信息在另一台计算机上查看。
我不明白这个陈述所指的位置(或过程)。 服务器上的任何地方都没有LocaleMetaData文件夹,所以我假设我需要以某种方式创建并导出一些额外的数据以及evtx文件,然后重新合并回查看系统。
我是否在正确的轨道上,有人可以告诉我如何使用完整的详细消息完全导出事件日志吗?
答案 0 :(得分:1)
我找到了答案:
使用时:
wevtutil al <FileName.evtx> [/l:<LocaleString>]
要导出... .evtx文件夹结束的位置,将会有一个使用.MTA文件创建的LocaleMetaData文件夹。