วิธีการลบไฟล์บันทึกของตัวแสดงเหตุการณ์ที่เสียหาย


อาการ


เมื่อคุณเปิดใช้งานตัวแสดงเหตุการณ์ของ Windows ข้อความแสดงข้อผิดพลาดต่อไปนี้อย่างใดอย่างหนึ่งอาจเกิดขึ้นได้ถ้าหนึ่งในไฟล์ * evt เสียหาย:
หมายเลขอ้างอิงไม่ถูกต้อง
ข้อยกเว้นของบริการ dr. Watson: การละเมิดการเข้าถึง (0xc0000005) ที่อยู่: 0x76e073d4
เมื่อคุณคลิกตกลงหรือยกเลิกบนข้อความแสดงข้อผิดพลาด Dr. Watson คุณอาจได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้:
การเรียกกระบวนการระยะไกลของตัวแสดงเหตุการณ์ล้มเหลว
กระบวนการ store.exe อาจใช้เปอร์เซ็นต์สูงสุดของการใช้งาน CPU

สาเหตุ


ไฟล์บันทึกของตัวแสดงเหตุการณ์ (Sysevent, Appevent, Secevent) จะถูกใช้งานโดยระบบเสมอการป้องกันไม่ให้ไฟล์ถูกลบหรือเปลี่ยนชื่อ ไม่สามารถหยุดบริการบันทึกเหตุการณ์ได้เนื่องจากบริการอื่นๆที่จำเป็นดังนั้นไฟล์จะเปิดอยู่เสมอ บทความนี้จะอธิบายวิธีการเปลี่ยนชื่อหรือย้ายไฟล์เหล่านี้เพื่อวัตถุประสงค์ในการแก้ไขปัญหา

การแก้ไข


สำคัญ ส่วนวิธีการหรืองานนี้ประกอบด้วยขั้นตอนที่บอกให้คุณทราบวิธีการปรับเปลี่ยนรีจิสทรี อย่างไรก็ตามปัญหาร้ายแรงอาจเกิดขึ้นถ้าคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ดังนั้นตรวจสอบให้แน่ใจว่าคุณได้ทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการป้องกันเพิ่มเติมให้สำรองข้อมูลรีจิสทรีก่อนที่คุณจะปรับเปลี่ยน จากนั้นคุณสามารถคืนค่ารีจิสทรีได้ถ้ามีปัญหาเกิดขึ้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรองและคืนค่ารีจิสทรีให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
322756 วิธีการสำรองข้อมูลและคืนค่ารีจิสทรีใน Windows

พาร์ติชัน NTFS

  1. คลิกปุ่มเริ่มชี้ไปที่การตั้งค่าคลิกแผงควบคุมจากนั้นดับเบิลคลิกบริการ
  2. เลือกบริการบันทึกเหตุการณ์แล้วคลิกเริ่มต้น เปลี่ยนชนิดการเริ่มต้นเป็นปิดใช้งานแล้วคลิกตกลง ถ้าคุณไม่สามารถเข้าสู่ระบบคอมพิวเตอร์ได้แต่สามารถเข้าถึงรีจิสทรีจากระยะไกลคุณสามารถเปลี่ยนค่าเริ่มต้นในรีจิสทรีคีย์ต่อไปนี้เป็น 0x4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog
  3. เริ่ม Windows ใหม่หมายเหตุ: เมื่อระบบเริ่มต้นทำงานหลายบริการอาจล้มเหลว ข้อความที่แจ้งให้ผู้ใช้ใช้ตัวแสดงเหตุการณ์เพื่อตรวจสอบข้อผิดพลาดอาจปรากฏขึ้น
  4. เปลี่ยนชื่อหรือย้ายไฟล์ที่เสียหาย * evt จากตำแหน่งที่ตั้งต่อไปนี้:
    %SystemRoot%\System32\Config
  5. ในเครื่องมือบริการแผงควบคุมให้เปิดใช้งานบริการบันทึกเหตุการณ์ใหม่อีกครั้งโดยการตั้งค่ากลับเป็นค่าเริ่มต้นของการเริ่มต้นโดยอัตโนมัติหรือเปลี่ยนค่าเริ่มต้นของรีจิสทรีกลับไปเป็น0x2

พาร์ติชัน FAT (วิธีการสำรอง)

  1. เริ่มต้นใช้งานพร้อมท์ MS-DOS โดยใช้ดิสก์ที่บูต DOS
  2. เปลี่ยนชื่อหรือย้ายไฟล์ที่เสียหาย * evt จากตำแหน่งที่ตั้งต่อไปนี้:
    %SystemRoot%\System32\Config
  3. เอาดิสก์ออกและเริ่ม Windows ใหม่
เมื่อ Windows เริ่มต้นระบบไฟล์บันทึกเหตุการณ์จะถูกสร้างขึ้นใหม่