LogParser本地计算机可能没有必要的注册表信息或消息DLL文件来显示消息

时间:2018-07-20 18:38:09

标签: logparser

为什么logparser的输出显示

“找不到源“ Microsoft-Windows-StorageSpaces-Driver”中事件ID 203的描述。本地计算机可能没有必要的注册表信息或消息DLL文件来显示来自远程计算机的消息” > 将EVTX文件导出为CSV时,在消息字段中输入

?对此有解决方法吗?

1 个答案:

答案 0 :(得分:0)

通常在Windows事件查看器中看到的所有消息实际上都是格式字符串,存储在DLL和其他记录事件事件的服务随附的二进制文件中。

例如,当服务XYZ想要将“无法连接到192.168.0.5”记录到事件查看器时,它实际上记录的是“ 8843,'192.168.0.5'”,其中“ 8843”是字符串的ID可以在服务XYZ向Windows Service Manager注册的二进制文件中找到;该字符串看起来像“无法连接到%1”。

任何希望报告相同字符串的应用程序都需要具有访问在Windows Service Manager中注册的二进制文件的能力;通常,无法找到这些二进制文件,例如,因为该服务已被卸载,或者因为事件日志已从其原始主机中导出,或者仅仅是因为该应用程序没有打开二进制文件的权限。

在特定情况下,如果您在与事件日志相同的主机上运行LogParser,则可能是需要以管理员身份运行。另外,可能是DLL早已消失了-当您在事件查看器中查找该事件时,您能看到该事件的实际消息吗?