Можно ли получить доступ к журналу событий Windows, если система не загружается?
21998
Macha
Если установка windows не загружается, возможно ли получить доступ к журналу событий из Linux LiveCD?
3 ответа на вопрос
7
Benjamin Schollnick
Это возможно, если вы используете Vista или новее. Данные журнала событий теперь записываются в файл XML в %SystemRoot%\System32\winevt\Logs\.
Предыдущие версии Windows записывали журнал в недокументированном двоичном формате. Эта веб-страница пытается описать этот формат.
GrokEVT, упомянутый на этой странице, представляет собой набор скриптов, созданных для чтения файлов журнала событий Windows NT / 2000 / XP / 2003. GrokEVT выпущен под лицензией GNU GPL и реализован на Python.
Файлы событий Windows 7 / Vista XML хранятся в:% SystemRoot% \ System32 \ winevt \ Logs \
Umber Ferrule 14 лет назад
1
1
saidurcse
Windows event logs are also files, but they are commonly locked by Windows (Event Log Service) and it is impossible to open these files on "live" system. But if the computer is started from another disk or the system drive from the analyzed machine is connected to another computer, you can read event logs as files. The default location of event logs on Vista/2008 and better is "C:\Windows\System32\winevt\Logs\".
Try Event Log Explorer, it's free for personal use. It better than Event Viewer, e.g. it lets you read even damaged event files.
Действительно ли этот ваш ответ что-то добавляет к тому, который был принят несколько лет назад?
zagrimsan 8 лет назад
0
0
Robert Adams
У меня есть ситуация, когда у меня есть куча жестких дисков, которые были удалены с различных машин во время обновлений. Не зная, из чего они вышли, доступ к системному журналу в указанном выше месте позволил мне получить доступ к имени домена и доступу пользователя к этому диску.