如何导出带有详细消息的 Windows 事件日志

Posted 2023-02-27

【中文标题】如何导出带有详细消息的 Windows 事件日志

【英文标题】：How can I export windows event logs with verbose messages

【发布时间】：2012-07-18 17:32:04

【问题描述】：

我一直在网上搜索，似乎无法找到一个好的答案。 我有点理解原因，但在解决方案上需要一些帮助。

我使用以下命令导出 windows 系统日志。我希望/需要它们采用 evtx 格式供以后使用。

wevtutil epl system c:\SystemEvents.evtx

目标是将它们发送给不会在同一服务器上查看它们的其他人。 这当然会导致完整的事件文本不是导出日志的一部分，用户将看到如下内容：

来自源服务器管理员的事件 ID XXX 的描述 找不到。引发此事件的组件不是 安装在本地计算机上或安装已损坏。你 可以在本地计算机上安装或修复组件。

如果事件源自另一台计算机，则显示信息 必须与事件一起保存。

活动中包含以下信息：

我正在阅读此页面： http://technet.microsoft.com/en-us/library/cc749339%28WS.10%29.aspx

并在其中找到了以下信息片段：

要对远程计算机上记录的事件进行故障排除，您必须 导出并归档带有显示信息的日志。显示器 已保存事件的信息存储在 LocaleMetaData 文件夹，并应与日志信息一起移动时 信息在另一台计算机上查看。

我不明白该声明所指的位置（或过程）。 服务器上的任何地方都没有 LocaleMetaData 文件夹，所以我假设我需要以某种方式创建和导出一些额外的数据以及 evtx 文件，然后重新合并回查看系统。

我是否走在正确的轨道上，有人可以告诉我如何使用完整的详细消息完全导出事件日志吗？

【参考方案1】：

我找到了答案：

当你使用这个时：

wevtutil al <FileName.evtx> [/l:<LocaleString>]

要导出... .evtx 文件夹的最终位置，将创建一个带有 .MTA 文件的 LocaleMetaData 文件夹。

【讨论】：

在我的机器上，我不断收到错误消息：Directory name is invalid.。通过以管理员身份运行命令提示符解决它。

使用本地参数的示例：/l:en-US 使用美国本地导出。

【参考方案2】：

试试这个： 这解释了使用事件查看器导出 windows 日志事件的步骤。

https://www.ibm.com/support/pages/exporting-windows-event-logs-event-viewer