如果系统不可启动，是否可以访问Windows事件日志？

如果无法启动Windows安装，是否可以从Linux LiveCD访问事件日志？

如果您运行的是Vista或更高版本，则可能会出现。现在，事件日志数据已写入中的XML文件%SystemRoot%\System32\winevt\Logs\。

Windows的早期版本以未记录的二进制格式写入日志。该网页试图描述该格式。

该页面上提到的GrokEVT是为读取Windows NT / 2000 / XP / 2003事件日志文件而构建的脚本的集合。GrokEVT在GNU GPL下发布，并以Python实现。

日志的默认位置是：

• %SystemRoot%\System32\Config\SysEvent.Evt （系统日志）
• %SystemRoot%\System32\Config\AppEvent.Evt （应用程序日志）
• %SystemRoot%\System32\Config\SecEvent.Evt （安全日志）

1. Windows事件日志也是文件，但是它们通常被Windows（事件日志服务）锁定，并且无法在“实时”系统上打开这些文件。但是，如果计算机是从另一张磁盘启动的，或者被分析机器的系统驱动器已连接到另一台计算机，则可以将事件日志读取为文件。在Vista / 2008或更高版本上，事件日志的默认位置是“ C：\ Windows \ System32 \ winevt \ Logs \”。
2. 尝试使用Event Log Explorer，它是免费供个人使用。它比事件查看器更好，例如，它甚至可以读取损坏的事件文件。

我遇到的情况是，在升级过程中，我从各台计算机上卸下了一堆HDD。不知道它们来自什么，访问上面列出的位置中的系统日志，使我可以访问该驱动器的域名和用户访问权限。

％驱动器号％：\ Windows \ System32 \ winevt \ Logs