Comment supprimer des fichiers journaux de observateur d'événements endommagés

  • Article

Cet article décrit une méthode pour renommer ou déplacer ces fichiers à des fins de résolution des problèmes.

S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 172156

Symptômes

Lorsque vous lancez Windows observateur d'événements, l’un des messages d’erreur suivants peut se produire si l’un des fichiers *.evt est endommagé :

Le handle n’est pas valide

Dr Watson Services.exe
Exception : Violation d’accès (0xc0000005), Adresse : 0x76e073d4

Lorsque vous sélectionnez OK ou annuler dans le message d’erreur Dr. Watson, vous pouvez également recevoir le message d’erreur suivant :

Observateur d'événements
Échec de l’appel de procédure distante

Le processus services.exe peut consommer un pourcentage élevé d’utilisation du processeur.

Cause

Les fichiers journaux observateur d'événements (Sysevent.evt, Appevent.evt, Secevent.evt) sont toujours utilisés par le système, ce qui empêche la suppression ou le renommage des fichiers. Le service EventLog ne peut pas être arrêté, car il est requis par d’autres services. Par conséquent, les fichiers sont toujours ouverts.

Résolution

Importante

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations, consultez Comment sauvegarder et restaurer le Registre dans Windows

NTFS Partition

  1. Sélectionnez le bouton Démarrer, pointez sur Paramètres, sélectionnez Panneau de configuration, puis double-cliquez sur Services.

  2. Sélectionnez le service EventLog , puis Startup. Remplacez le Type de démarrage par Désactivé, puis sélectionnez OK. Si vous ne parvenez pas à vous connecter à l’ordinateur, mais que vous pouvez accéder au Registre à distance, vous pouvez modifier la valeur de démarrage de la clé de Registre suivante en 0x4 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog

  3. Redémarrez Windows.

    Remarque

    Lorsque le système démarre, plusieurs services peuvent échouer ; un message informant l’utilisateur d’utiliser observateur d'événements pour examiner les erreurs peut s’afficher.

  4. Renommez ou déplacez le fichier *.evt endommagé à partir de l’emplacement suivant : %SystemRoot%\System32\Config

  5. Dans l’outil Panneau de configuration Services, réactivez le service EventLog en le réactivant sur la valeur par défaut Démarrage automatique, ou remplacez la valeur de démarrage du Registre par 0x2.

Partition FAT (autre méthode)

  1. Démarrez à une invite MS-DOS à l’aide d’un disque de démarrage DOS.

  2. Renommez ou déplacez le fichier *.evt endommagé à partir de l’emplacement suivant : %SystemRoot%\System32\Config

  3. Supprimez le disque et redémarrez Windows.

Lorsque Windows est redémarré, le fichier journal des événements est recréé.