TL / DR: Registra o trabalho no sistema com a fonte instalada, mas exibe informações que não são arquivadas com o wevtutil al. Ao tentar ler mensagens no sistema sem fontes instaladas, recebo a "descrição do ID do evento da fonte não encontrada. O componente que gera este evento não está instalado ...". A maioria das mensagens das minhas fontes são arquivadas corretamente, mas as mensagens de duas delas não são arquivadas.
Desc. completa: Estou tentando atualizar alguns scripts de suporte de minhas empresas para que nosso produto não precise ser instalado para ler as mensagens que produzimos no log de eventos. Isso requer a execução do wevtutil epl e, em seguida, o wevtutil al back to back, e ele gera um arquivo evtx e um arquivo MTA específico do código de idioma. Isso funciona para 4 para nossas fontes / produtos de eventos, mas não para 2 deles. E não consigo descobrir o porquê. Os logs estão funcionando corretamente em sistemas com essas fontes instaladas, e todos eles têm a entrada correta em HKLM \ SYSTEM \ CurrentControlSet \ Services \ EventLog \ Application \\ EventMessageFile.
Eu reiniciei a máquina que gera os logs e a máquina sem as fontes instaladas nas quais estou testando os arquivos. Isso não resolveu o problema. Também verifiquei a lista de editores com o wevtutil ep, e isso parece bom.