Если установка windows не загружается, возможно ли получить доступ к журналу событий с Linux LiveCD?
3 ответа
7
Это возможно, если вы используете Vista или новее. Данные журнала событий теперь записываются в файл XML в %SystemRoot%\System32\winevt\Logs\ .
Предыдущие версии Windows записывали журнал в недокументированном двоичном формате. Эта веб-страница пытается описать этот формат.
GrokEVT, упомянутый на этой странице, представляет собой набор скриптов, созданных для чтения файлов журнала событий Windows NT/2000/XP/2003. GrokEVT выпущен под лицензией GNU GPL и реализован на Python.
Расположение журналов по умолчанию:
%SystemRoot%\System32\Config\SysEvent.Evt(Системный журнал)%SystemRoot%\System32\Config\AppEvent.Evt( Журнал приложений)%SystemRoot%\System32\Config\SecEvent.Evt(журнал безопасности)
1
- Журналы событий Windows также являются файлами, но они обычно блокируются Windows (Event Log Service), и эти файлы невозможно открыть в "живой" системе. Но если компьютер запускается с другого диска или системный диск с анализируемой машины подключен к другому компьютеру, вы можете читать журналы событий как файлы. Расположение журналов событий по умолчанию в Vista/2008 и лучше - «C:\Windows\System32\winevt\Logs\».
- Попробуйте Event Log Explorer, это бесплатно для личного использования. Это лучше, чем Event Viewer, например, он позволяет читать даже поврежденные файлы событий.
0
У меня есть ситуация, когда у меня есть куча жестких дисков, которые были удалены с различных машин во время обновлений. Не зная, из чего они вышли, доступ к системному журналу в указанном выше месте позволил мне получить доступ к имени домена и доступу пользователя к этому диску.
% буква диска%:\Windows\System32\winevt\Logs