Удаление поврежденных файлов журнала Просмотр событий

  • Статья

В этой статье описывается метод переименования или перемещения этих файлов для устранения неполадок.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 172156

Симптомы

При запуске Windows Просмотр событий может появиться одно из следующих сообщений об ошибке, если один из файлов *.evt поврежден:

Дескриптор недопустим

Доктор Уотсон Services.exe
Исключение: нарушение доступа (0xc0000005), адрес: 0x76e073d4

При нажатии кнопки ОК или отмены в сообщении об ошибке доктора Ватсона вы также можете получить следующее сообщение об ошибке:

Средство просмотра событий
Сбой удаленного вызова процедуры

Процесс services.exe может потреблять высокий процент загрузки ЦП.

Причина

Файлы журнала Просмотр событий (Sysevent.evt, Appevent.evt, Secevent.evt) всегда используются системой, предотвращая удаление или переименование файлов. Службу EventLog нельзя остановить, так как она требуется другим службам, поэтому файлы всегда открыты.

Разрешение

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см . в статье Резервное копирование и восстановление реестра в Windows.

Секция NTFS

  1. Нажмите кнопку Пуск, наведите указатель мыши на пункт Параметры, выберите панель управления, а затем дважды щелкните Службы.

  2. Выберите службу EventLog и выберите Запуск. Измените тип запуска на Отключено, а затем нажмите кнопку ОК. Если вы не можете войти на компьютер, но можете получить доступ к реестру удаленно, вы можете изменить значение запуска в следующем разделе реестра на 0x4: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog

  3. Перезагрузите Windows.

    Примечание.

    При запуске системы может произойти сбой нескольких служб; Может появиться сообщение, информирующее пользователя об использовании Просмотр событий для проверки ошибок.

  4. Переименуйте или переместите поврежденный файл *.evt из следующего расположения: %SystemRoot%\System32\Config

  5. В средстве панель управления Services повторно включите службу EventLog, задав для нее значение по умолчанию Автоматический запуск или измените значение реестра Автозапуск на 0x2.

Раздел FAT (альтернативный метод)

  1. Загрузите запрос MS-DOS с помощью загрузочного диска DOS.

  2. Переименуйте или переместите поврежденный файл *.evt из следующего расположения: %SystemRoot%\System32\Config

  3. Удалите диск и перезапустите Windows.

При перезапуске Windows файл журнала событий будет повторно создан.