当分析从另一台 PC 保存的事件日志时,可能会看到以下内容而不是事件描述:
“无法找到来自源 [] 的事件 ID [] 的描述。引发此事件的组件未安装在您的本地计算机上,或者安装已损坏。您可以在本地计算机上安装或修复该组件。如果事件源自另一台计算机,则必须将显示信息与事件一起保存。”
Wevtutil.exe 以及从事件查看器手动导出提供了将事件描述保存在 LocaleMetaData 文件夹中的选项。Wevtutil al /?给了我们以下解释:
“以自包含格式存档日志文件。将创建一个具有语言环境名称的子目录,并将所有特定于语言环境的信息保存在该子目录中。当 archive-log 命令创建的目录与日志文件一起存在时,无论发布者是否安装,都可以读取文件中的事件“”。
问题是:如何附加这些导出的描述,并在另一台未安装某些发布者的计算机上使用事件查看器查看外部事件日志时看到它们?我从未成功过,也找不到任何提示或成功案例。有时他们会说,在分析机器上安装相同的产品是绝对必要的,才能看到该产品生成的事件的可读描述。这句话似乎与上面的粗体片段相矛盾,不是吗?