É possível acessar o log de eventos do Windows se o sistema não puder ser inicializado?

É possível se você estiver executando o Vista ou mais recente. Os dados do log de eventos agora são gravados em um arquivo XML em %SystemRoot%\System32\winevt\Logs\ .

Versões anteriores do Windows gravaram o log em um formato binário não documentado. Esta página da web tenta descrever esse formato.

GrokEVT , que é mencionado nessa página, é uma coleção de scripts criados para a leitura do Windows NT / 2000 / XP / Arquivos de log de eventos de 2003. O GrokEVT é lançado sob a GNU GPL e implementado em Python.

Os locais padrão dos registros são:

• %SystemRoot%\System32\Config\SysEvent.Evt (log do sistema)
• %SystemRoot%\System32\Config\AppEvent.Evt (log do aplicativo)
• %SystemRoot%\System32\Config\SecEvent.Evt (log de segurança)

1. Os logs de eventos do Windows também são arquivos, mas normalmente são bloqueados pelo Windows (Event Log Service) e é impossível abrir esses arquivos no sistema "ao vivo". Mas se o computador for iniciado a partir de outro disco ou se a unidade do sistema da máquina analisada estiver conectada a outro computador, você poderá ler os logs de eventos como arquivos. A localização padrão dos logs de eventos no Vista / 2008 e melhor é "C: \ Windows \ System32 \ winevt \ Logs \".
2. Experimente o Event Log Explorer , é gratuito para uso pessoal. É melhor que o Visualizador de Eventos, por exemplo Ele permite que você leia até arquivos de eventos danificados.

Eu tenho uma situação em que tenho uma pilha de HDD que foram removidos de várias máquinas durante as atualizações. Não saber do que saíram, acessando o log do sistema no local listado acima, permitiu que eu acessasse o nome de domínio e o acesso do usuário dessa unidade.

% letra da unidade%: \ Windows \ System32 \ winevt \ Logs