如果系统无法启动，是否可以访问 Windows 事件日志？

如果您运行的是 Vista 或更新版本，则有可能。事件日志数据现在写入 XML 文件%SystemRoot%\System32\winevt\Logs\。

以前版本的 Windows 以未记录的二进制格式写入日志。此网页尝试描述该格式。

GrokEVT该页面上提到的是用于读取 Windows NT/2000/XP/2003 事件日志文件的脚本集合。GrokEVT 在 GNU GPL 下发布，并使用 Python 实现。

日志的默认位置是：

• %SystemRoot%\System32\Config\SysEvent.Evt （系统日志）
• %SystemRoot%\System32\Config\AppEvent.Evt （申请日志）
• %SystemRoot%\System32\Config\SecEvent.Evt （安全日志）

1. Windows 事件日志也是文件，但它们通常被 Windows（事件日志服务）锁定，无法在“实时”系统上打开这些文件。但如果计算机从另一个磁盘启动，或者被分析机器的系统驱动器连接到另一台计算机，则可以将事件日志作为文件读取。Vista/2008 及更高版本上的事件日志的默认位置是“C:\Windows\System32\winevt\Logs\”。
2. 尝试事件日志资源管理器，个人使用免费。它比事件查看器更好，例如，它甚至可以让您读取已损坏的事件文件。

我遇到过这种情况：我有一堆硬盘，这些硬盘在升级过程中从各种机器上拆下来。由于不知道它们来自哪里，访问上面列出的位置中的系统日志，我能够访问该驱动器的域名和用户访问权限。

%驱动器号%:\Windows\System32\winevt\Logs

是的，这是可能的。从 Debian 或 Ubuntu Live CD，你可以安装导出。

evtxexport 是一个用于导出存储在 Windows XML EventViewer 日志 (EVTX) 文件中的项目的实用程序

它是“自由软件开发工具包-utils”包。

apt install libevtx-utils

还有其他基于 Perl 或 Python 的工具，例如

• 解析器“将 Windows 事件日志文件转换为 XML”
• 体外诊断试剂：“Windows XML EventLog 格式的跨平台解析器”
• 或者python-evtx：“用于最新 Windows 事件日志文件的纯 Python 解析器”