破損したイベント ビューアーログ ファイルを削除する方法

  • [アーティクル]

この記事では、トラブルシューティングのためにこれらのファイルの名前を変更または移動する方法について説明します。

適用対象: Windows Server 2012 R2
元の KB 番号: 172156

現象

Windows イベント ビューアーを起動すると、*.evt ファイルのいずれかが破損している場合、次のいずれかのエラーメッセージが表示されることがあります。

ハンドルが無効です

ワトソン Services.exe 博士
例外: アクセス違反 (0xc0000005)、アドレス: 0x76e073d4

ワトソン博士のエラー メッセージで [OK] または [キャンセル] を選択すると、次のエラー メッセージが表示される場合もあります。

イベント ビューアー
リモート プロシージャ 呼び出しに失敗しました

services.exe プロセスでは、CPU 使用率の割合が高くなる可能性があります。

原因

イベント ビューアー ログ ファイル (Sysevent.evtAppevent.evtSecevent.evt) は常にシステムによって使用され、ファイルが削除または名前変更されないようにします。 EventLog サービスは他のサービスで必要であるため、停止できないため、ファイルは常に開きます。

解決方法

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 詳細については、「Windows でレジストリをバックアップおよび復元する方法」を参照してください。

NTFS パーティション

  1. [スタート] ボタンを選択し、[設定] をポイントし、[コントロール パネル] を選択し、[サービス] をダブルクリックします。

  2. EventLog サービスを選択し、[スタートアップ] を選択します。 [スタートアップの種類] を [無効] に変更し、[ OK] を選択します。 コンピューターにサインインできないが、レジストリにリモートでアクセスできる場合は、次のレジストリ キーの [スタートアップ] の値を0x4に変更できます。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog

  3. Windows を再起動します。

    注:

    システムが起動すると、いくつかのサービスが失敗する可能性があります。イベント ビューアーを使用してエラーを確認するようにユーザーに通知するメッセージが表示される場合があります。

  4. 破損した *.evt ファイルの名前を変更するか、次の場所から移動します。 %SystemRoot%\System32\Config

  5. コントロール パネル サービス ツールで、EventLog サービスを既定の [自動起動] に戻して再度有効にするか、レジストリの [スタートアップ] の値を [0x2 に戻します。

FAT パーティション (代替方法)

  1. DOS ブート可能ディスクを使用して MS-DOS プロンプトを起動します。

  2. 破損した *.evt ファイルの名前を変更するか、次の場所から移動します。 %SystemRoot%\System32\Config

  3. ディスクを削除し、Windows を再起動します。

Windows が再起動されると、イベント ログ ファイルが再作成されます。