我一直在网上搜索,似乎无法找到一个好的答案。我有点理解原因,但需要一些解决方案的帮助。
我使用以下命令导出 windows 系统日志。我希望/需要它们采用 evtx 格式供以后使用。
wevtutil epl system c:\SystemEvents.evtx
目标是将它们发送给不会在同一服务器上查看它们的其他人。这当然会导致完整的事件文本不是导出日志的一部分,用户将看到如下内容:
找不到来自源 Server Administrator 的事件 ID XXX 的描述。引发此事件的组件未安装在本地计算机上,或者安装已损坏。您可以在本地计算机上安装或修复组件。
如果事件起源于另一台计算机,则显示信息必须与事件一起保存。
活动中包含以下信息:
我正在阅读此页面: http ://technet.microsoft.com/en-us/library/cc749339%28WS.10%29.aspx
并在其中找到了以下信息片段:
要对记录在远程计算机上的事件进行故障排除,您必须导出并存档带有显示信息的日志。已保存事件的显示信息存储在 LocaleMetaData 文件夹中,当在另一台计算机上查看信息时,应将其与日志信息一起移动。
我不明白该声明所指的位置(或过程)。服务器上的任何地方都没有 LocaleMetaData 文件夹,所以我假设我需要以某种方式创建和导出一些附加数据以及 evtx 文件,然后重新合并回查看系统。
我在正确的轨道上吗?有人可以告诉我如何使用完整的详细消息完全导出事件日志吗?