当你看到不到日志描述,除了KB31226,还有更好的办法
(本文已提交社区KB,谢绝转载,谢谢)
因为你的机器上没有安装对应的产品,所以经常会发现打开Event Viewer的时候,看到的日志类似于:
Event Type: Warning
Event Source: Virtual Server
Event Category: (5)
Event ID: 1032
Date: 2007-10-23
Time: 19:18:10
User: NT AUTHORITY\NETWORK SERVICE
Computer: XXX
Description:
The description for Event ID ( 1032 ) in Source ( Virtual Server ) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer. You may be able to use the /AUXSOURCE= flag to retrieve this description; see Help and Support for details. The following information is part of the event: The event log file is corrupt..
到底发生了什么自然我们也就搞不清楚了。按照KB31226的方法,我们可以连接到装有产品的机器上去打开日志详情,可是如果这个日志是别人邮件给你的,难道你必须去连结可能在防火墙之后的服务器?
当然,你也可以安装一个相同产品的虚机,然后导入日志查看。不要笑,我以前就是这么干的。可是如果一台机器上装了Exchange\SQL等等,难道你也准备在一个虚机上装N个产品?或者装N个虚机?
有一种办法可以让你大大的避免这个情况。
实际上Event Viewer之所以知道在哪里找到事件消息描述,是因为EventLog服务里面有对应日志项目的注册表。只要我们拥有这些注册表键和值,以及对应的位置上有用于事件消息解释的文件,就可以在这台机器上看到详细的时间消息了。
以上面的Virtual Server的事件为例,可以先在源机器(即安装了产品,产生日志的机器)上查找到如下注册表键,导出注册表键。然后将显示的相应消息文件复制到目标机器(即用来查看导出日志的机器),并导入注册表,即可在Event Viewer里面查看有关日志了。
您再也不用连接物理服务器或者必须安装虚机了。
等我有空的时候,慢慢制作一些安装包,直接能安装相应的文件和注册表键,到时候再和大家分享。