TL / DR: журналы работают в системе с установленным исходным кодом, но отображают информацию, которая не архивируется с помощью wevtutil al. При попытке прочитать сообщения в системе без установленных источников я получаю сообщение «Не удалось найти описание идентификатора события из источника. Либо компонент, который вызывает это событие, не установлен ...». Большинство сообщений моих источников архивируются правильно, а сообщения от двух из них - нет.
Полное описание: Я пытаюсь обновить сценарии поддержки некоторых из моих компаний, чтобы не нужно было устанавливать наш продукт для чтения сообщений, которые мы создаем в журнале событий. Для этого требуется запустить wevtutil epl, а затем wevtutil al подряд, и он генерирует файл evtx и файл MTA для конкретной локали. Это работает для 4 источников / продуктов событий, но не для 2 из них. И я не могу понять почему. Журналы работают правильно в системах с установленными этими источниками, и все они имеют правильную запись в HKLM \ SYSTEM \ CurrentControlSet \ Services \ EventLog \ Application \\ EventMessageFile.
Я перезагрузил и машину, генерирующую журналы, и машину без установленных источников, на которой я тестирую архивы. Это не устранило проблему. Я также проверил список издателей с помощью wevtutil ep, и, похоже, это нормально.