Видалення пошкоджених файлів журналу перегляду подій


Ознаки


Під час запуску засобу перегляду подій Windows з'являється одне з наведених нижче повідомлень про помилку, якщо один із файлів *. EVT пошкоджений:
Неприпустимий дескриптор
Виключення служб Dr. Watson Services. exe: порушення прав доступу (0xc0000005), адреса: 0x76e073d4
Після натискання кнопки "OK" або "Скасувати" на сторінці повідомлення про помилку Dr. Watson може з'явитися таке повідомлення про помилку:
Помилка виклику віддаленої процедури засобу перегляду подій
Процес служб. exe може споживати високий відсоток використання ЦП.

Причина


Файли журналу перегляду подій (Sysseent. EVT, Appevent. EVT, sevent. EVT) завжди використовуються в системі, запобігаючи видаленню файлів або їх перейменування. Не вдалося зупинити службу "журнал подій", оскільки він потрібен іншим службам, тому файли завжди відкриваються. У цій статті описано, як перейменувати або перенести ці файли з метою виправлення неполадок.

Спосіб вирішення


Важливе значення Цей розділ, метод або завдання містить кроки, які вказують, як змінити реєстр. Однак, якщо ви змінюєте реєстр неправильно, можуть виникнути серйозні проблеми. Тому переконайтеся, що ви уважно стежите за цими кроками. Щоб отримати додатковий захист, потрібно створити резервну копію реєстру, перш ніж вносити зміни. Після цього ви можете відновити реєстр, якщо виникла проблема. Щоб отримати докладні відомості про те, як створити резервну копію та відновити реєстр, клацніть цей номер статті, щоб переглянути статтю в базі знань Microsoft Knowledge Base:
322756 Створення резервної копії та відновлення реєстру у Windows

Розділ NTFS

  1. Натисніть кнопку Пуск , наведіть вказівник на пункт настройки, виберіть пункт панель керування, а потім двічі клацніть елемент служби.
  2. Виберіть службу "журнал подій" і натисніть кнопку " Запуск". Змініть тип запуску на вимкнуту, а потім натисніть кнопку OK. Якщо ви не можете ввійти на комп'ютер, але отримати доступ до реєстру віддалено, ви можете змінити значення запуску в такому розділі реєстру, щоб 0x4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog
  3. Перезапустіть Windows.Примітка: коли система завантажиться, деякі служби можуть не відповідати; повідомлення про помилки можуть з'являтися в повідомленні, яке інформує користувача про використання засобу перегляду подій.
  4. Перейменуйте або пересуньте пошкоджений файл *. EVT з наведеного нижче розташування.
    %SystemRoot%\System32\Config
  5. У засобі "служби" служб керування службами повторно активуйте службу "журнал подій", встановивши його назад до стандартного запуску або змініть значення запуску реєстру ще на 0x2.

Розділ FAT (альтернативний метод)

  1. Завантаження до запиту MS-DOS за допомогою завантажувального диска DOS.
  2. Перейменуйте або пересуньте пошкоджений файл *. EVT з наведеного нижче розташування.
    %SystemRoot%\System32\Config
  3. Вийміть диск і перезавантажте Windows.
Після перезапуску Windows файл журналу подій буде відтворений повторно.