Ошибки при логировании Windows в syslog

evtsys.exe выдаёт ошибку OpenPublisherMetadata failed for Publisher: "ПРИЛОЖЕНИЕ"

Сообщение об ошибке означает, что evtsys.exe не удалось интерпретировать часть сообщения журнала с помощью API Windows. Журнала событий Windows (EVTX) сохраняет не всё сообщение, а только его идентификатор. Чтобы иметь возможность прочитать сообщение, необходим файл DLL, который содержит все сообщения журнала ПРИЛОЖЕНИЯ с их идентификаторами.

При пересылке сообщений с другого компьютера возможна ситуация, когда нужная DLL отсутствует.

Решение

На компьютере источнике сообщений найти имя DLL в реестре по адресу: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ найти нужное приложение, а в нем параметр с именем DLL — EventMessageFile. Также потребуется файл MUI, с дополнительным расширением .mui к имени файла DLL. Например, для WindowsDefender имя подраздела будет System\WinDefend, файл DLL — %ProgramFiles%\Windows Defender\MpEvMsg.dll, а файл MUI %ProgramFiles%\Windows Defender\ru_RU\MpEvMsg.dll.mui.

Файлы DLL и MUI надо скопировать в какой-нибудь каталог на сервере с evtsys.exe и зарегистрировать командой:

New-EventLog -Source "Microsoft-Windows-Search" -LogName "Windows_Defender" -MessageResourceFile "SOME_PATH\MpEvMsg.dll"