Jak usunąć uszkodzone pliki dziennika Podgląd zdarzeń

  • Artykuł

W tym artykule opisano metodę zmiany nazwy lub przeniesienia tych plików na potrzeby rozwiązywania problemów.

Dotyczy: Windows Server 2012 R2
Oryginalny numer KB: 172156

Symptomy

Po uruchomieniu systemu Windows Podgląd zdarzeń może wystąpić jeden z następujących komunikatów o błędach, jeśli jeden z plików *.evt jest uszkodzony:

Dojście jest nieprawidłowe

Dr Watson Services.exe
Wyjątek: Naruszenie dostępu (0xc0000005), Adres: 0x76e073d4

Po wybraniu przycisku OK lub anulowaniu komunikatu o błędzie Dr Watson może również zostać wyświetlony następujący komunikat o błędzie:

Podgląd zdarzeń
Zdalne wywołanie procedury nie powiodło się

Proces services.exe może zużywać wysoki procent wykorzystania procesora CPU.

Przyczyna

Pliki dziennika Podgląd zdarzeń (Sysevent.evt, Appevent.evt, Secevent.evt) są zawsze używane przez system, co uniemożliwia usunięcie lub zmianę nazwy plików. Nie można zatrzymać usługi EventLog, ponieważ jest ona wymagana przez inne usługi, dlatego pliki są zawsze otwarte.

Rozwiązanie

Ważna

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Dla większego bezpieczeństwa przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji, zobacz Jak utworzyć kopię zapasową i przywrócić rejestr w systemie Windows

Partycja NTFS

  1. Wybierz przycisk Start, wskaż pozycję Ustawienia, wybierz pozycję Panel sterowania, a następnie kliknij dwukrotnie pozycję Usługi.

  2. Wybierz usługę EventLog i wybierz pozycję Uruchamianie. Zmień typ uruchamiania na Wyłączone, a następnie wybierz przycisk OK. Jeśli nie możesz zalogować się na komputerze, ale możesz uzyskać zdalny dostęp do rejestru, możesz zmienić wartość Uruchamianie w następującym kluczu rejestru na 0x4: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog

  3. Uruchom ponownie system Windows.

    Uwaga

    Po uruchomieniu systemu kilka usług może zakończyć się niepowodzeniem; może zostać wyświetlony komunikat informujący użytkownika o używaniu Podgląd zdarzeń do przeglądania błędów.

  4. Zmień nazwę lub przenieś uszkodzony plik *.evt z następującej lokalizacji: %SystemRoot%\System32\Config

  5. W narzędziu Panel sterowania Services ponownie włącz usługę EventLog, ustawiając ją z powrotem na wartość domyślną Automatycznego uruchamiania lub zmień wartość uruchamiania rejestru z powrotem na 0x2.

Partycja FAT (metoda alternatywna)

  1. Uruchom rozruch w wierszu polecenia MS-DOS przy użyciu dysku rozruchowego do systemu DOS.

  2. Zmień nazwę lub przenieś uszkodzony plik *.evt z następującej lokalizacji: %SystemRoot%\System32\Config

  3. Usuń dysk i uruchom ponownie system Windows.

Po ponownym uruchomieniu systemu Windows plik dziennika zdarzeń zostanie ponownie utworzony.