Мне нужно получить журналы событий со встроенной машины XP, на которой нет средства просмотра событий, на машину XP pro с программой просмотра событий, а затем просмотреть журналы.
Каждый раз, когда я перемещаю журнал событий, он кажется поврежденным, и я получаю сообщение «Невозможно завершить операцию с SysEvent.evt. Файл журнала событий поврежден». когда я пытаюсь открыть его в средстве просмотра событий.
Это происходит даже в том случае, если журналы взяты с того же компьютера и скопированы в ту же папку, что и остальные журналы, т.е.
command line -> cd C:\Windows\system32\config -> copy SysEvent.evt SysEvent2.evt
Исходный журнал открывается без сучка и задоринки. Я также пробовал следовать этому руководству http://support.microsoft.com/default.aspx?scid=kb;en-us;315417&sd=tech но я считаю, что это может быть необходимо только в том случае, если вы перемещаете журнал событий в незащищенную папку.
В любом случае я не могу открыть какой-либо файл журнала после его копирования и вставки.
Любые идеи?
Спасибо,
Билл.
Откройте журнал событий с помощью удаленного средства просмотра событий. Сохранить на локальный компьютер. Открыть локально сохраненную копию.