Windows 正在将其日志文件转换为 *.EVTX 格式,但我们仍有一些客户端的版本使用较旧的 *.EVT 格式。这些文件的构建方式有何不同?它们的解析方式是否不同?
我遇到的问题是,当我尝试在 Windows 7 中打开 *.EVT 文件时,出现很多无效数据错误,但当我转身在 XP 中打开它们时,它似乎工作正常。
为了全面披露,当我保存查看器的日志时,以及当我尝试直接从 windows32 文件夹路径复制文件时,我看到了相同的行为。
答案1
在 Windows XP 之前,Windows 事件文件被归类为 .evt 文件。
Windows Vista 及更高版本开始将事件日志文件称为 .evtx
(这很像 Office '03 和 '07 版本中 MS Word 中的 .doc 与 .docx)
编辑以遵循您的编辑:
我还看到了此链接关于在旧版本的 Windows 上加载 evt 文件的兼容性等等……看来您可能不是第一个遇到这个问题的人!