Ist es möglich, auf das Windows-Ereignisprotokoll zuzugreifen, wenn das System nicht bootfähig ist?

22198
Macha

Kann eine Windows-Installation nicht gestartet werden, kann von einer LiveCD auf Linux auf das Ereignisprotokoll zugegriffen werden?

6

3 Antworten auf die Frage

7
Benjamin Schollnick

Es ist möglich, wenn Sie mit Vista oder neuer arbeiten. Die Ereignisprotokolldaten werden jetzt in eine XML-Datei geschrieben %SystemRoot%\System32\winevt\Logs\.

In früheren Versionen von Windows wurde das Protokoll in einem undokumentierten Binärformat geschrieben. Diese Webseite versucht, dieses Format zu beschreiben.

Das auf dieser Seite erwähnte GrokEVT ist eine Sammlung von Skripten, die zum Lesen von Ereignisprotokolldateien von Windows NT / 2000 / XP / 2003 erstellt wurden. GrokEVT wird unter der GNU GPL veröffentlicht und in Python implementiert.

Die Standardspeicherorte der Protokolle sind:

  • %SystemRoot%\System32\Config\SysEvent.Evt (Systemprotokoll)
  • %SystemRoot%\System32\Config\AppEvent.Evt (Anwendungsprotokoll)
  • %SystemRoot%\System32\Config\SecEvent.Evt (Sicherheitsprotokoll)
Wo wird diese XML-Datei gespeichert? Macha vor 14 Jahren 0
XML-Ereignisdateien für Windows 7 / Vista, die gespeichert sind in:% SystemRoot% \ System32 \ winevt \ Logs \ Umber Ferrule vor 13 Jahren 1
1
saidurcse
  1. Windows-Ereignisprotokolle sind ebenfalls Dateien. Sie werden jedoch normalerweise von Windows (Ereignisprotokolldienst) gesperrt, und es ist unmöglich, diese Dateien auf einem Live-System zu öffnen. Wenn der Computer jedoch von einem anderen Datenträger gestartet wird oder das Systemlaufwerk von dem analysierten Computer an einen anderen Computer angeschlossen ist, können Sie Ereignisprotokolle als Dateien lesen. Der Standardspeicherort für Ereignisprotokolle unter Vista / 2008 ist "C: \ Windows \ System32 \ winevt \ Logs \".
  2. Probieren Sie den Event Log Explorer aus . Er ist kostenlos für den persönlichen Gebrauch. Es ist besser als die Ereignisanzeige, z. B. können Sie sogar beschädigte Ereignisdateien lesen.
Fügt diese Antwort Ihrer wirklich etwas hinzu, was bereits vor Jahren akzeptiert wurde? zagrimsan vor 7 Jahren 0
0
Robert Adams

I have a situation where I have a pile of HDD that have been removed from various machines during upgrades. Not knowing what they came out of, accessing the system log in the location listed above, allowed me to access the domain name and user access of that drive.

%drive letter%:\Windows\System32\winevt\Logs

Diese Frage wurde 2009 gestellt und beantwortet, und Sie haben 2016 geantwortet, nachdem eine Antwort bereits akzeptiert wurde. Eric F vor 8 Jahren 1

Verwandte Probleme