none
LogParser не возвращает данные из поля Message из всех журналов вида Microsoft-Windows-* RRS feed

  • Вопрос

  • Добрый день.

    Для получения отчета о резервном копировании решил использовать утилиту LogParser.

    Скопировал локально файл журнала

    Microsoft-Windows-Backup.evtx

    Делаю запрос следующего вида:

    "C:\Program Files (x86)\Log Parser 2.2\LogParser.exe" -i:evt "SELECT * INTO d:\LogParserFile.csv FROM D:\Microsoft-Windows-Backup.evtx WHERE TimeGenerated > TIMESTAMP ( '2013-10-01 00:00:00', 'yyyy-MM-dd hh:mm:ss' ) AND TimeGenerated < TIMESTAMP ( '2013-11-01 00:00:00', 'yyyy-MM-dd hh:mm:ss' )"

    В поле Message вместо описания событий таких как:
    -Операция архивации запущена.

    -Операция архивации успешно завершена

    и т.д. получаю сообщения следующего вида:

    The description for Event ID 1 in Source "Microsoft-Windows-Backup" cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer

    И так для ЛЮБЫХ событий из данного журнала. Хотя если открыть данный файл утилитой "Просмотр событий", то все события можно просмотреть.

    Начал копать и обнаружил, что LogParser во всех журналах, которые начинаются с Microsoft-Windows-* не показывает поле Message. Вместо записи причины, он выдает вышеуказанную строку "The description for Event ID 1 in Source "Microsoft-Windows-Backup" cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer", отличается только Event ID и Source.

    Хотя если эти журналы открывать утилитой "Просмотр событий", то все можно нормально посмотреть.

    Права учетной записи - администратора.

    Log parser возвращает нормальные данные поля Message для журналов событий Application, System.

    Как сделать чтобы LogParser возвращал нормальные данные поля Message?

    2 декабря 2013 г. 9:19

Ответы

  • Здравствуйте Иван,

    К сожалению не сталкивался с такой проблемой, единственое, что нашел, что официално нет информации поддержки Logparcer'a на оси выше 2003


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    • Помечено в качестве ответа ivan.impuls 3 декабря 2013 г. 12:21
    3 декабря 2013 г. 9:06
    Модератор

Все ответы

  • Здравствуйте Иван,

    К сожалению не сталкивался с такой проблемой, единственое, что нашел, что официално нет информации поддержки Logparcer'a на оси выше 2003


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    • Помечено в качестве ответа ivan.impuls 3 декабря 2013 г. 12:21
    3 декабря 2013 г. 9:06
    Модератор
  • официално нет информации поддержки Logparcer'a на оси выше 2003
    не совсем понимаю, а что мешает использовать powershell? Get-WinEvent можно очень гибко тюнить - примеры использования командлета есть в технете...

    Active Directory? Ask me how.

    • Предложено в качестве ответа lokise 3 декабря 2013 г. 12:19
    3 декабря 2013 г. 12:13
    Отвечающий
  • Спасибо за ответ. Что ж, прискорбно.

    Попробую PowerShell или WMI...

    3 декабря 2013 г. 12:21
  • официално нет информации поддержки Logparcer'a на оси выше 2003
    не совсем понимаю, а что мешает использовать powershell? Get-WinEvent можно очень гибко тюнить - примеры использования командлета есть в технете...

    Active Directory? Ask me how.


    в принципе не мешает, но когда нет официальной информации, что поддерживается, нельзя сказать, что будет работать без проблем

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    3 декабря 2013 г. 12:43
    Модератор
  • в принципе не мешает, но когда нет официальной информации, что поддерживается, нельзя сказать, что будет работать без проблем
    Что значит "поддерживается" в данном случае??? штатный командлет Get-WinEvent - очень гибкая работа с EventLog без необходимости использовать отдельный софт... если событие в EventLog попало, то речь уже не может идти о "поддержке/не поддержке" в данном случае, ибо штатный механизм имеется ввиду...

    Active Directory? Ask me how.

    3 декабря 2013 г. 12:47
    Отвечающий