Supprimer les fichiers journaux de l’observateur d’événements endommagés


Symptômes


Lorsque vous lancez l’observateur d’événements Windows, l’un des messages d’erreur suivants peut se produire si l’un des fichiers *. evt est endommagé :
Le handle n’est pas valide
Exception Dr. Watson services. exe : violation d’accès (0xc0000005), adresse : 0x76e073d4
Lorsque vous cliquez sur OK ou sur Annuler dans le message d’erreur Dr. Watson, vous pouvez également recevoir le message d’erreur suivant :
Échec de l’appel de procédure distante de l’observateur d’événements
Le processus services. exe risque de consommer un pourcentage élevé d’utilisation de l’UC.

Cause


Les fichiers journaux de l’observateur d’événements (SYSEVENT. evt, AppEvent. evt, SecEvent. evt) sont toujours utilisés par le système afin d’empêcher la suppression ou le changement de nom des fichiers. Le service EventLog ne peut pas être arrêté car il est requis par d’autres services, ce qui signifie que les fichiers sont toujours ouverts. Cet article décrit une méthode pour renommer ou déplacer ces fichiers à des fins de dépannage.

Résolution


Important Cette section, méthode ou tâche comporte des étapes qui vous indiquent comment modifier le registre. Toutefois, des problèmes sérieux peuvent se produire si vous modifiez le registre de manière incorrecte. Par conséquent, veillez à suivre ces étapes soigneusement. Pour une protection renforcée, sauvegardez le registre avant de le modifier. Vous pouvez ensuite restaurer le registre en cas de problème. Pour plus d’informations sur la sauvegarde et la restauration du Registre, cliquez sur le numéro ci-dessous pour consulter l’article de la base de connaissances Microsoft :
322756 Comment sauvegarder et restaurer le Registre dans Windows

Partition NTFS

  1. Cliquez sur le bouton Démarrer , pointez sur paramètres, cliquez sur panneaude configuration, puis double-cliquez sur services.
  2. Sélectionnez le service EventLog, puis cliquez sur Démarrer. Définissez le type de démarrage sur désactivé, puis cliquez sur OK. Si vous ne parvenez pas à vous connecter à l’ordinateur, mais pouvez accéder au registre à distance, vous pouvez remplacer la valeur de démarrage dans la clé de Registre suivante par 0x4 :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog
  3. Redémarrez Windows.Remarque: lorsque le système démarre, plusieurs services peuvent échouer ; un message vous informant que l’utilisateur doit utiliser l’observateur d’événements pour examiner les erreurs est susceptible de s’afficher.
  4. Renommez ou déplacez le fichier *. evt endommagé à partir de l’emplacement suivant :
    %SystemRoot%\System32\Config
  5. Dans l’outil services du panneau de configuration, réactivez le service EventLog en le rétablissant par défaut ou rétablissez la valeur de démarrage du Registre sur 0X2.

Partition FAT (autre méthode)

  1. Démarrez sur une invite MS-DOS en utilisant une disquette amorçable de DOS.
  2. Renommez ou déplacez le fichier *. evt endommagé à partir de l’emplacement suivant :
    %SystemRoot%\System32\Config
  3. Supprimez le disque et redémarrez Windows.
Lorsque Windows est redémarré, le fichier journal des événements est recréé.