Löschen beschädigter Ereignisanzeige Protokolldateien

  • Artikel

In diesem Artikel wird eine Methode zum Umbenennen oder Verschieben dieser Dateien zur Problembehandlung beschrieben.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 172156

Symptome

Wenn Sie Windows Ereignisanzeige starten, kann eine der folgenden Fehlermeldungen auftreten, wenn eine der *.evt Dateien beschädigt ist:

Das Handle ist ungültig.

Dr. Watson Services.exe
Ausnahme: Zugriffsverletzung (0xc0000005), Adresse: 0x76e073d4

Wenn Sie in der Dr. Watson-Fehlermeldung OK oder Abbrechen auswählen, wird möglicherweise auch die folgende Fehlermeldung angezeigt:

Ereignisanzeige
Fehler beim Remoteprozeduraufruf

Der services.exe Prozess kann einen hohen Prozentsatz der CPU-Auslastung verbrauchen.

Ursache

Die Ereignisanzeige Protokolldateien (Sysevent.evt, Appevent.evt, Secevent.evt) werden immer vom System verwendet, wodurch verhindert wird, dass die Dateien gelöscht oder umbenannt werden. Der EventLog-Dienst kann nicht beendet werden, da er von anderen Diensten benötigt wird, sodass die Dateien immer geöffnet sind.

Lösung

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

NTFS-Partition

  1. Wählen Sie die Schaltfläche Start aus, zeigen Sie auf Einstellungen, wählen Sie Systemsteuerung aus, und doppelklicken Sie dann auf Dienste.

  2. Wählen Sie den EventLog-Dienst und dann Start aus. Ändern Sie den Starttyp in Deaktiviert, und wählen Sie dann OK aus. Wenn Sie sich nicht anmelden können, aber remote auf die Registrierung zugreifen können, können Sie den Wert Start im folgenden Registrierungsschlüssel in 0x4 ändern: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog

  3. Starten Sie Windows neu.

    Hinweis

    Wenn das System gestartet wird, können mehrere Dienste ausfallen. Möglicherweise wird eine Meldung angezeigt, die den Benutzer darüber informiert, Ereignisanzeige zum Überprüfen von Fehlern zu verwenden.

  4. Benennen Sie die beschädigte *.evt-Datei von folgendem Speicherort um, oder verschieben Sie sie: %SystemRoot%\System32\Config

  5. Aktivieren Sie in Systemsteuerung Services-Tool den EventLog-Dienst erneut, indem Sie ihn wieder auf den Standardwert Automatischer Start festlegen, oder ändern Sie den Registrierungsstartwert wieder in 0x2.

FAT-Partition (alternative Methode)

  1. Starten Sie eine MS-DOS-Eingabeaufforderung mithilfe eines startbaren DOS-Datenträgers.

  2. Benennen Sie die beschädigte *.evt-Datei von folgendem Speicherort um, oder verschieben Sie sie: %SystemRoot%\System32\Config

  3. Entfernen Sie den Datenträger, und starten Sie Windows neu.

Wenn Windows neu gestartet wird, wird die Ereignisprotokolldatei neu erstellt.