Löschen beschädigter Ereignisanzeige Protokolldateien
In diesem Artikel wird eine Methode zum Umbenennen oder Verschieben dieser Dateien zur Problembehandlung beschrieben.
Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 172156
Symptome
Wenn Sie Windows Ereignisanzeige starten, kann eine der folgenden Fehlermeldungen auftreten, wenn eine der *.evt Dateien beschädigt ist:
Das Handle ist ungültig.
Dr. Watson Services.exe
Ausnahme: Zugriffsverletzung (0xc0000005), Adresse: 0x76e073d4
Wenn Sie in der Dr. Watson-Fehlermeldung OK oder Abbrechen auswählen, wird möglicherweise auch die folgende Fehlermeldung angezeigt:
Ereignisanzeige
Fehler beim Remoteprozeduraufruf
Der services.exe Prozess kann einen hohen Prozentsatz der CPU-Auslastung verbrauchen.
Ursache
Die Ereignisanzeige Protokolldateien (Sysevent.evt, Appevent.evt, Secevent.evt) werden immer vom System verwendet, wodurch verhindert wird, dass die Dateien gelöscht oder umbenannt werden. Der EventLog-Dienst kann nicht beendet werden, da er von anderen Diensten benötigt wird, sodass die Dateien immer geöffnet sind.
Lösung
Wichtig
Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.
NTFS-Partition
Wählen Sie die Schaltfläche Start aus, zeigen Sie auf Einstellungen, wählen Sie Systemsteuerung aus, und doppelklicken Sie dann auf Dienste.
Wählen Sie den EventLog-Dienst und dann Start aus. Ändern Sie den Starttyp in Deaktiviert, und wählen Sie dann OK aus. Wenn Sie sich nicht anmelden können, aber remote auf die Registrierung zugreifen können, können Sie den Wert Start im folgenden Registrierungsschlüssel in 0x4 ändern:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog
Starten Sie Windows neu.
Hinweis
Wenn das System gestartet wird, können mehrere Dienste ausfallen. Möglicherweise wird eine Meldung angezeigt, die den Benutzer darüber informiert, Ereignisanzeige zum Überprüfen von Fehlern zu verwenden.
Benennen Sie die beschädigte *.evt-Datei von folgendem Speicherort um, oder verschieben Sie sie:
%SystemRoot%\System32\Config
Aktivieren Sie in Systemsteuerung Services-Tool den EventLog-Dienst erneut, indem Sie ihn wieder auf den Standardwert Automatischer Start festlegen, oder ändern Sie den Registrierungsstartwert wieder in 0x2.
FAT-Partition (alternative Methode)
Starten Sie eine MS-DOS-Eingabeaufforderung mithilfe eines startbaren DOS-Datenträgers.
Benennen Sie die beschädigte *.evt-Datei von folgendem Speicherort um, oder verschieben Sie sie:
%SystemRoot%\System32\Config
Entfernen Sie den Datenträger, und starten Sie Windows neu.
Wenn Windows neu gestartet wird, wird die Ereignisprotokolldatei neu erstellt.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für