Come eliminare file di log Visualizzatore eventi danneggiati

  • Articolo

Questo articolo descrive un metodo per rinominare o spostare questi file a scopo di risoluzione dei problemi.

Si applica a: Windows Server 2012 R2
Numero KB originale: 172156

Sintomi

Quando si avvia Windows Visualizzatore eventi, è possibile che si verifichi uno dei seguenti messaggi di errore se uno dei file *.evt è danneggiato:

L'handle non è valido

Dr. Watson Services.exe
Eccezione: violazione di accesso (0xc0000005), indirizzo: 0x76e073d4

Quando si seleziona OK o si annulla il messaggio di errore Dr. Watson, è anche possibile che venga visualizzato il messaggio di errore seguente:

Visualizzatore eventi
Chiamata di procedura remota non riuscita

Il processo services.exe può utilizzare una percentuale elevata di utilizzo della CPU.

Causa

I file di log Visualizzatore eventi (Sysevent.evt, Appevent.evt, Secevent.evt) vengono sempre usati dal sistema, impedendo l'eliminazione o la ridenominazione dei file. Il servizio EventLog non può essere arrestato perché è richiesto da altri servizi, pertanto i file sono sempre aperti.

Risoluzione

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Poiché l'errata modifica del Registro di sistema può causare seri problemi, Di conseguenza, attenersi scrupolosamente alla procedura indicata. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile ripristinare il Registro di sistema se si verifica un problema. Per altre informazioni, vedere Come eseguire il backup e ripristinare il Registro di sistema in Windows

Partizione NTFS

  1. Selezionare il pulsante Start, scegliere Impostazioni, selezionare Pannello di controllo e quindi fare doppio clic su Servizi.

  2. Selezionare il servizio EventLog e selezionare Avvio. Impostare Tipo di avvio su Disabilitato e quindi selezionare OK. Se non è possibile accedere al computer ma è possibile accedere al Registro di sistema in remoto, è possibile modificare il valore Di avvio nella chiave del Registro di sistema seguente in 0x4: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog

  3. Riavviare Windows.

    Nota

    All'avvio del sistema, diversi servizi potrebbero non riuscire; potrebbe essere visualizzato un messaggio che informa l'utente di usare Visualizzatore eventi per esaminare gli errori.

  4. Rinominare o spostare il file *.evt danneggiato dal percorso seguente: %SystemRoot%\System32\Config

  5. Nello strumento Pannello di controllo Services riabilitare il servizio EventLog impostandolo di nuovo sul valore predefinito Di avvio automatico oppure reimpostare il valore di avvio del Registro di sistema su 0x2.

Partizione FAT (metodo alternativo)

  1. Eseguire l'avvio in un prompt MS-DOS usando un disco dos avviabile.

  2. Rinominare o spostare il file *.evt danneggiato dal percorso seguente: %SystemRoot%\System32\Config

  3. Rimuovere il disco e riavviare Windows.

Al riavvio di Windows, il file del registro eventi verrà ricreato.