Fehlermeldung beim Öffnen ein Ereignisprotokolls auf Windows Vista oder Windows Server 2008-basierten Computer Ereignisanzeige verwenden: "Event Viewer kann nicht das Ereignisprotokoll oder benutzerdefinierte Ansicht öffnen"

Problembeschreibung

Ereignis-Viewer können Sie auf einem Computer mit Windows Vista oder Windows Server 2008 ein Ereignisprotokoll öffnen. Darüber hinaus erhalten Sie eine Fehlermeldung, die der folgenden ähnelt:
Ereignisanzeige kann nicht das Ereignisprotokoll oder benutzerdefinierte Ansicht öffnen. Überprüfen Sie, ob Ereignisprotokolldienst ausgeführt wird oder die Abfrage zu lang ist. Die Daten sind ungültig (13).
Wenn dieses Problem auftritt, wenn Sie eine benutzerdefinierte Anwendung, das Windows-Ereignisprotokoll-Anwendungsprogrammierschnittstelle (API ausführen) lesen den Inhalt der Ereignisprotokolldateien (EVTX) die Anwendung fehlschlägt und Sie die Fehlermeldung ERROR_INVALID_DATA.

Hinweis EVTX-Dateien befinden sich standardmäßig im folgenden Verzeichnis:
%SystemRoot%\System32\Winevt\Logs

Ursache

Dieses Problem tritt auf, wenn ein EVTX beschädigt ist. In einer Datei EVTX ist eine Tabelle, die Zeichenfolgen Ereignisse gespeichert werden, sodass doppelte Zeichenfolgen nur einmal gespeichert werden können. Andere Zeichenfolgen verweisen die Zeichenfolgen in der Tabelle mit dem Index der Tabelle gespeichert. Jedes Mal ein neues Ereignis generiert wird, werden der Tabelle neue Zeichenfolgen hinzugefügt. Manchmal kann ein Ereignis zum Ereignisprotokoll geschrieben werden. Allerdings ist bereits Teil der Tabelle aktualisiert. In diesem Fall ist die EVTX-Datei beschädigt.

Problemlösung

Es gibt einen Hotfix für dieses Problem. Nachdem Sie diesen Hotfix anwenden, setzt die Aktualisierung der Tabelle zurück, wenn das Ereignis nicht EVTX Datei geschrieben wird. Auf diese Weise wird die Datei EVTX nicht beschädigt. Dieser Hotfix kann nicht jedoch eine beschädigte EVTX wiederherstellen.

Wenn Sie diesen Hotfix auf einem Computer installieren, die eine beschädigte EVTX müssen Sie deaktivieren und das beschädigte Protokoll mit dem Befehl Wevtutil sichern. Löschen und das Protokoll in die Datei System.evtx, führen Sie den folgenden Befehl ein:
Wevtutil cl System /bu: C:\system.evtx

Hotfix-Informationen

Ein unterstützter Hotfix ist von Microsoft erhältlich. Allerdings soll dieser Hotfix das Problem beheben, das in diesem Artikel beschrieben wird. Wenden Sie dieses Hotfix nur auf Systeme an, bei denen das in diesem Artikel beschriebene Problem auftritt. Dieser Hotfix sollte weiteren Tests unterzogen werden. Wenn Ihr System durch dieses Problem nicht schwerwiegend beeinträchtigt ist, empfehlen wir sie, auf das nächste Softwareupdate zu warten, das diesen Hotfix enthält.

Wenn der Hotfix zum Download zur Verfügung steht, gibt es einen Abschnitt "Hotfixdownload available" ("Hotfixdownload verfügbar"), am oberen Rand dieses Knowledge Base-Artikel. Wenn dieser Abschnitt nicht angezeigt wird, wenden Sie sich an den Microsoft Customer Service and Support, um den Hotfix zu erhalten.

Hinweis Falls weitere Probleme auftreten oder andere Schritte zur Problembehandlung erforderlich sind, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten für zusätzliche Supportfragen und Probleme, die nicht diesem speziellen Hotfix zugeordnet werden können. Für eine vollständige Liste der Telefonnummern des Microsoft Customer Service and Support, oder um eine separate Serviceanfrage zu erstellen, gehen Sie auf folgende Microsoft-Website:Hinweis Das Formular "Hotfix download available" ("Hotfixdownload verfügbar") zeigt die Sprachen an, für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist dieser Hotfix für Ihre Sprache nicht verfügbar.

Voraussetzungen

Um diesen Hotfix anwenden zu können, muss Ihr Computer eines der folgenden Betriebssysteme ausgeführt werden:
  • Windows Vista Servicepack 1 (SP1)
  • Windows Vista Servicepack 2 (SP2)
  • Windows Server 2008
  • Windows Server 2008 Servicepack 2 (SP2)

Neustartanforderung

Sie müssen den Computer neu starten, nachdem Sie diesen Hotfix anwenden.

Informationen zur Registrierung

Sie haben nicht die Registrierung ändern.

Dateiinformationen

Die englische Version dieses Hotfixes weist Dateiattribute (oder spätere Attribute), die in der folgenden Tabelle aufgelistet sind. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) aufgelistet. Wenn Sie die Dateiinformationen anzeigen, werden sie in die lokale Zeit konvertiert. Um die Differenz zwischen UTC und der Ortszeit zu finden, verwenden Sie die Registerkarte Zeitzone unter Datum und Uhrzeit in der Systemsteuerung.

Hinweis zu den Dateiinformationen für Windows Vista

MANIFEST-Dateien (. manifest) und MUM-Dateien für jede Umgebung installiert sind
einzeln
. MUM- und MANIFEST-Dateien sowie die zugehörigen Sicherheitskatalogdateien (.cat) Dateien sind wichtig, den Status der aktualisierten Komponente beizubehalten. Die Sicherheitskatalogdateien (Attribute nicht aufgelistet) sind mit einer digitalen Microsoft-Signatur signiert.
Für alle unterstützten Versionen von Windows Vista und Windows Server 2008-basierten x86
DateinameDateiversionDateigrößeDatumZeitPlattform
Wevtsvc.dll6.0.6000.21074990,20830-Jun-200912:27x86
Wevtsvc.dll6.0.6001.224591,014,78430-Jun-200912:28x86
Wevtsvc.dll6.0.6002.221601.017.85630-Jun-200912:16x86
Für alle unterstützten Versionen von Windows Vista und Windows Server 2008-basierten x64
DateinameDateiversionDateigrößeDatumZeitPlattform
Wevtsvc.dll6.0.6000.210741,450,49630-Jun-200913:00x64
Wevtsvc.dll6.0.6001.224591,490,94430-Jun-200912:34x64
Wevtsvc.dll6.0.6002.221601,491,96830-Jun-200912:16x64
Für alle unterstützten Itanium-basierten Versionen von Windows Server 2008
DateinameDateiversionDateigrößeDatumZeitPlattform
Wevtsvc.dll6.0.6001.224592,698,75230-Jun-200912:26IA-64
Wevtsvc.dll6.0.6002.221602,702,33630-Jun-200912:07IA-64

Status

Microsoft hat bestätigt, dass es sich um ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt „Eigenschaften“ aufgeführt sind.

Weitere Informationen

Weitere Informationen zum Windows-Ereignisprotokoll-Dienst finden Sie auf der folgenden Microsoft-Website:Weitere Informationen zu Windows-Ereignissen finden Sie auf der folgenden Microsoft-Website:Weitere Informationen zur Verwendung des Befehls Wevtutil finden Sie auf der folgenden Microsoft-Website:Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

824684 Erläuterung von der standardmäßigen Standardbegriffen bei Microsoft Softwareupdates


Eigenschaften

Artikelnummer: 972999 – Letzte Überarbeitung: 13.01.2017 – Revision: 2

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Vista Enterprise 64-bit edition, Windows Vista Home Basic 64-bit edition, Windows Vista Home Premium 64-bit edition, Windows Vista Ultimate 64-bit edition, Windows Vista Business, Windows Vista Business 64-bit edition, Windows Vista Enterprise, Windows Vista Home Basic, Windows Vista Home Premium, Windows Vista Ultimate

Feedback