Como excluir arquivos de log de Visualizador de Eventos corrompidos

  • Artigo

Este artigo descreve um método para renomear ou mover esses arquivos para fins de solução de problemas.

Aplica-se a: Windows Server 2012 R2
Número de KB original: 172156

Sintomas

Quando você inicia o Windows Visualizador de Eventos, uma das seguintes mensagens de erro pode ocorrer se um dos arquivos *.evt estiver corrompido:

O identificador é inválido

Watson Services.exe
Exceção: violação de acesso (0xc0000005), Endereço: 0x76e073d4

Ao selecionar OK ou cancelar na mensagem de erro do Dr. Watson, você também poderá receber a seguinte mensagem de erro:

Visualizador de Eventos
Falha na chamada de procedimento remoto

O processo services.exe pode consumir um alto percentual de utilização da CPU.

Motivo

Os arquivos de log Visualizador de Eventos (Sysevent.evt, Appevent.evt, Secevent.evt) estão sempre em uso pelo sistema, impedindo que os arquivos sejam excluídos ou renomeados. O serviço EventLog não pode ser interrompido porque é exigido por outros serviços, portanto, os arquivos estão sempre abertos.

Resolução

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações, consulte Como fazer backup e restaurar o registro no Windows

Partição NTFS

  1. Selecione o botão Iniciar, aponte para Configurações, selecione Painel de Controle e clique duas vezes em Serviços.

  2. Selecione o serviço EventLog e selecione Inicializar. Altere o Tipo de Inicialização para Desabilitado e selecione OK. Se você não conseguir entrar no computador, mas puder acessar o registro remotamente, poderá alterar o valor de Inicialização na seguinte chave do registro para 0x4: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog

  3. Reinicie o Windows.

    Observação

    Quando o sistema é iniciado, vários serviços podem falhar; uma mensagem informando o usuário a usar Visualizador de Eventos para revisar erros pode aparecer.

  4. Renomeie ou mova o arquivo *.evt corrompido do seguinte local: %SystemRoot%\System32\Config

  5. Na ferramenta Painel de Controle Services, habilite novamente o serviço EventLog definindo-o de volta ao padrão de inicialização automática ou altere o valor de Inicialização do Registro de volta para 0x2.

Partição FAT (método alternativo)

  1. Inicialize para um prompt MS-DOS usando um disco inicializável dos DOS.

  2. Renomeie ou mova o arquivo *.evt corrompido do seguinte local: %SystemRoot%\System32\Config

  3. Remova o disco e reinicie o Windows.

Quando o Windows for reiniciado, o arquivo log de eventos será recriado.