TL/DR:安装了源的系统上的日志可以工作,但显示信息无法通过 wevtutil al 存档。当尝试在未安装源的系统上读取消息时,我收到“无法找到源的事件 ID 描述。引发此事件的组件未安装...”。我的大多数源消息都已正确存档,但其中 2 个消息未存档。
完整描述:我正在尝试更新我公司的一些支持脚本,这样我们的产品就无需安装即可读取我们在事件日志中生成的消息。这需要运行 wevtutil epl,然后连续运行 wevtutil al,它会生成一个 evtx 文件和一个特定于语言环境的 MTA 文件。这适用于我们的 4 个事件源/产品,但对其中 2 个无效。我不知道为什么。日志在安装了这些源的系统上正常工作,并且它们都在 HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\\EventMessageFile 下具有正确的条目。
我重启了生成日志的机器和测试存档的未安装源的机器。但这并没有解决问题。我还用 wevtutil ep 检查了发布者列表,看起来一切正常。