LogParser Локальный компьютер может не иметь необходимой информации реестра или файлов DLL сообщений для отображения сообщений
Почему вывод logparser показывает
"Не удается найти описание события с кодом 203 в источнике"Microsoft-Windows-StorageSpaces-Driver". На локальном компьютере может отсутствовать необходимая информация реестра или файлы DLL сообщений для отображения сообщений с удаленного компьютера"
в поле сообщения при экспорте файла EVTX в CSV? и есть ли исправить это?
1 ответ
Все сообщения, которые вы обычно видите в средстве просмотра событий Windows, на самом деле являются строками форматирования, хранящимися в DLL-файлах и других двоичных файлах, которые поставляются вместе со службой, регистрирующей событие.
Например, когда служба XYZ хочет зарегистрировать "Невозможно подключиться к 192.168.0.5" для средства просмотра событий, она действительно регистрирует что-то вроде "8843," 192.168.0.5 ", где"8843"- это идентификатор строки, которая должна быть найденным в двоичном файле, зарегистрированном службой XYZ с помощью Windows Service Manager; строка будет выглядеть примерно так: "Не удается подключиться к%1".
Любое приложение, которое желает сообщить об одинаковых строках, нуждается в возможности доступа к двоичным файлам, зарегистрированным в Windows Service Manager; часто эти двоичные файлы не могут быть найдены, например, из-за того, что служба была удалена, или потому что журнал событий был экспортирован из исходного узла, или просто потому, что приложение не имеет прав на открытие двоичных файлов.
В вашем конкретном случае, если вы запускаете LogParser на том же хосте, что и журнал событий, возможно, вам нужно работать от имени администратора. Кроме того, может случиться так, что сами библиотеки DLL давно исчезли - вы можете увидеть фактическое сообщение об этом событии, когда вы ищите его в средстве просмотра событий?