Eliminación de archivos de registro de Visor de eventos dañados

  • Artículo

En este artículo se describe un método para cambiar el nombre o mover estos archivos con fines de solución de problemas.

Se aplica a: Windows Server 2012 R2
Número de KB original: 172156

Síntomas

Al iniciar Windows Visor de eventos, se puede producir uno de los siguientes mensajes de error si uno de los archivos *.evt está dañado:

El identificador no es válido

Watson Services.exe
Excepción: Infracción de acceso (0xc0000005), Dirección: 0x76e073d4

Al seleccionar Aceptar o cancelar en el mensaje de error Dr. Watson, también puede recibir el siguiente mensaje de error:

Visor de eventos
Error en la llamada a procedimiento remoto

El proceso de services.exe puede consumir un alto porcentaje de uso de CPU.

Causa

El sistema siempre usa los archivos de registro Visor de eventos (Sysevent.evt, Appevent.evt, Secevent.evt), lo que impide que se eliminen o cambien el nombre de los archivos. El servicio EventLog no se puede detener porque es necesario para otros servicios, por lo que los archivos siempre están abiertos.

Solución

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información, consulte Copia de seguridad y restauración del Registro en Windows.

Partición NTFS

  1. Seleccione el botón Inicio, seleccione Configuración, Panel de control y, a continuación, haga doble clic en Servicios.

  2. Seleccione el servicio EventLog y seleccione Inicio. Cambie el tipo de inicio a Deshabilitado y, a continuación, seleccione Aceptar. Si no puede iniciar sesión en el equipo pero puede acceder al Registro de forma remota, puede cambiar el valor de Inicio en la siguiente clave del Registro a 0x4: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog

  3. Reinicie Windows.

    Nota:

    Cuando se inicia el sistema, pueden producirse errores en varios servicios; puede aparecer un mensaje que informa al usuario de que use Visor de eventos para revisar los errores.

  4. Cambie el nombre o mueva el archivo *.evt dañado desde la siguiente ubicación: %SystemRoot%\System32\Config

  5. En Panel de control Services Tool, vuelva a habilitar el servicio EventLog; para ello, vuelva a establecerlo en el valor predeterminado de Inicio automático o vuelva a cambiar el valor de Inicio del Registro a 0x2.

Partición FAT (método alternativo)

  1. Arranque en un símbolo del sistema MS-DOS mediante un disco de arranque DOS.

  2. Cambie el nombre o mueva el archivo *.evt dañado desde la siguiente ubicación: %SystemRoot%\System32\Config

  3. Quite el disco y reinicie Windows.

Cuando se reinicie Windows, se volverá a crear el archivo de registro de eventos.