TL / DR:在安装了源代码的系统上工作的日志,但显示的信息没有被wevtutil al归档。 当试图读取没有安装源代码的系统上的消息时,我得到“无法find来自源的事件ID的描述,或者引发这个事件的组件没有安装…”。 我的大部分消息来源的消息都被正确存档,但其中2个消息不是。
Full desc:我试图更新一些公司的支持脚本,以便我们的产品不需要安装,以便读取我们在事件日志中生成的消息。 这需要运行wevtutil epl,然后wevtutil al返回,并生成一个evtx文件和一个特定于语言环境的MTA文件。 这适用于我们的活动来源/产品4,但不适用于其中2。 我不明白为什么。 日志在安装了这些源的系统上正常工作,并且它们都在HKLM \ SYSTEM \ CurrentControlSet \ Services \ EventLog \ Application \\ EventMessageFile下具有正确的条目。
我已经重新启动了生成日志的机器,以及没有安装我正在testing存档的源代码的机器。 这并没有解决问题。 我也用wevtutil ep检查了发布者列表,而且看起来很好。