如果 Windows 安装无法启动,是否可以从 Linux LiveCD 访问事件日志?
如果您运行的是 Vista 或更新版本,则有可能。事件日志数据现在以 .xml 格式写入 XML 文件%SystemRoot%\System32\winevt\Logs\。
以前版本的 Windows 以未公开的二进制格式编写日志。此网页试图描述该格式。
该页面上提到的GrokEVT是为读取 Windows NT/2000/XP/2003 事件日志文件而构建的脚本集合。GrokEVT 在 GNU GPL 下发布,并在 Python 中实现。
日志的默认位置是:
%SystemRoot%\System32\Config\SysEvent.Evt (系统日志)%SystemRoot%\System32\Config\AppEvent.Evt (申请日志)%SystemRoot%\System32\Config\SecEvent.Evt (安全日志)| 归档时间: |
|
| 查看次数: |
34925 次 |
| 最近记录: |