如何查找神秘事件查看器日志的来源

如何查找神秘事件查看器日志的来源

我正在查看事件查看器日志,并在应用程序日志中看到一堆错误条目。(Windows Server 2008 R1)。大约每 4 秒就会将一个错误写入日志。

我需要找出哪个应用程序导致了这些事件,有什么方法可以找出答案吗?

它们的外观如下:

错误 12/2/2010 12:00:09 PM 应用程序 0 无

每个错误的详细信息:

Log Name:      Application
Source:        Application
Date:          12/2/2010 12:00:09 PM
Event ID:      0
Task Category: None
Level:         Error
Keywords:      Classic
User:          N/A
Computer:      computer.domain
Description:
The description for Event ID 0 from source Application cannot be found. Either the component that raises this event is not installed on your local computer or the installation is corrupted. You can install or repair the component on the local computer.

If the event originated on another computer, the display information had to be saved with the event.

The following information was included with the event: 


the message resource is present but the message is not found in the string/message table

Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Application" />
    <EventID Qualifiers="0">0</EventID>
    <Level>2</Level>
    <Task>0</Task>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2010-12-02T20:00:09.000Z" />
    <EventRecordID>237167</EventRecordID>
    <Channel>Application</Channel>
    <Computer>computer.domain</Computer>
    <Security />
  </System>
  <EventData>
    <Binary>534F434B...</Binary>
  </EventData>
</Event>

答案1

事件日志描述字段中的附加文本由事件查看器显示。它并非源自日志条目本身。

根据我的经验,此事件源的 EventMessageFile 设置无效,例如指向错误的.NET 版本。

当面对该消息时,我用同一台机器上类似日志配置中的有效 EventMessageFile 设置替换注册表中的无效设置(通常适用注册表警告免责声明)。

重新启动事件查看器后,附加文本将从其他未改变的日志条目中消失。

答案2

看起来应用程序缺少资源 dll,因此它不知道如何以有意义的方式将信息写入日志。在这种情况下,进程浏览器会成为您的好帮手。

相关内容