有没有办法在 Windows 事件日志中查找不同的程序安装?我尝试查找特定的 ID,但找不到引用安装的 ID。如果没有,有没有简单的方法可以访问 Windows 计算机上已安装程序的数据?
答案1
您可以按 EventID 进行过滤以查看特定类型的事件。有许多 Windows Installer 事件 ID 对应于不同类型的操作。1033 表示已安装产品,1034 表示已卸载产品。
对于 Windows Installer,您还可以按来源进行过滤。MsiInstaller 是所有 Windows Installer 事件的来源。
InstallShield 往往是 MSI 脚本的包装器,因此它通常具有相同的事件 ID。但是,其他安装程序包通常不会使用相同的 EventID。对于任何安装程序,您都需要找到它使用的适当事件 ID(如果有)。
更新详情:哦,这些都可以在应用程序下的事件查看器中找到。
更新响应:Windows 事件 ID 不会因操作系统而异,因为它们是由应用程序决定的。在本例中为 Windows 安装程序。
我在我的 XP 机器和 2003 服务器上进行了测试,它们都使用 1033 进行安装,使用 1034 进行卸载。
您可以尝试安装 Windows 更新补丁或类似补丁。一些小补丁,例如根证书更新等。然后检查事件日志中是否有相应的条目。这将允许您查看自上次安装以来日志是否已被清除。
更新更多详细信息,备用 ID:网上有大量有关事件 ID 的信息,包括 MSI 安装程序的所有可能 EventID 列表。简单看一下,我不太确定 1033/1034 和 11707/11708 ID 之间有什么区别。MS 文档似乎表明两种不同类型表示同一件事,即成功安装或卸载,但包含不同类型的信息。