손상된 이벤트 뷰어 로그 파일을 삭제하는 방법

  • 아티클

이 문서에서는 문제 해결을 위해 이러한 파일의 이름을 바꾸거나 이동하는 방법을 설명합니다.

적용 대상: Windows Server 2012 R2
원본 KB 번호: 172156

증상

Windows 이벤트 뷰어 시작할 때 *.evt 파일 중 하나가 손상된 경우 다음 오류 메시지 중 하나가 발생할 수 있습니다.

핸들이 잘못되었습니다.

왓슨 박사 Services.exe
예외: 액세스 위반(0xc0000005), 주소: 0x76e073d4

Dr. Watson 오류 메시지에서 확인 또는 취소를 선택하면 다음 오류 메시지가 표시될 수도 있습니다.

이벤트 뷰어
원격 프로시저 호출 실패

services.exe 프로세스는 높은 비율의 CPU 사용률을 사용할 수 있습니다.

원인

이벤트 뷰어 로그 파일(Sysevent.evt, Appevent.evt, Secevent.evt)은 항상 시스템에서 사용하므로 파일이 삭제되거나 이름이 바뀌지 않습니다. EventLog 서비스는 다른 서비스에 필요하므로 중지할 수 없으므로 파일이 항상 열려 있습니다.

해결 방법

중요

이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 주의하여 수행해야 합니다. 추가된 보호를 위해 레지스트리를 수정하기 전에 백업하세요. 그런 다음 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. 자세한 내용은 Windows에서 레지스트리를 백업하고 복원하는 방법을 참조하세요.

NTFS 파티션

  1. 시작 단추를 선택하고 설정을 가리킨 다음 제어판 선택한 다음 서비스를 두 번 클릭합니다.

  2. EventLog 서비스를 선택하고 시작을 선택합니다. 시작 유형을 사용 안 함으로 변경한 다음 확인을 선택합니다. 컴퓨터에 로그인할 수 없지만 레지스트리에 원격으로 액세스할 수 있는 경우 다음 레지스트리 키의 시작 값을 0x4 변경할 수 있습니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog

  3. Windows를 다시 시작합니다.

    참고

    시스템이 시작되면 여러 서비스가 실패할 수 있습니다. 사용자에게 이벤트 뷰어 사용하여 오류를 검토하도록 알리는 메시지가 나타날 수 있습니다.

  4. 다음 위치에서 손상된 *.evt 파일의 이름을 바꾸거나 이동합니다. %SystemRoot%\System32\Config

  5. 제어판 Services 도구에서 EventLog 서비스를 자동 시작의 기본값으로 다시 설정하여 다시 사용하도록 설정하거나 레지스트리 시작 값을 다시 0x2 변경합니다.

FAT 파티션(대체 방법)

  1. DOS 부팅 가능 디스크를 사용하여 MS-DOS 프롬프트로 부팅합니다.

  2. 다음 위치에서 손상된 *.evt 파일의 이름을 바꾸거나 이동합니다. %SystemRoot%\System32\Config

  3. 디스크를 제거하고 Windows를 다시 시작합니다.

Windows를 다시 시작하면 이벤트 로그 파일이 다시 만들어집니다.