如何刪除損毀 事件檢視器 記錄檔

  • 發行項

本文說明重新命名或移動這些檔案以進行疑難解答的方法。

適用:Windows Server 2012 R2
原始 KB 編號: 172156

徵狀

當您啟動 Windows 事件檢視器 時,如果其中一個 *.evt 檔案損毀,可能會發生下列其中一個錯誤訊息:

句柄無效

Watson Services.exe
例外狀況:存取違規 (0xc0000005) 、位址:0x76e073d4

當您在 Dr. Watson 錯誤訊息上選取 [ 確定 ] 或 [取消] 時,您可能也會收到下列錯誤訊息:

事件檢視器
遠端過程調用失敗

services.exe 程式可能會耗用高百分比的CPU使用率。

原因

事件檢視器 記錄檔 (Sysevent.evtAppevent.evtSecevent.evt) 一律由系統使用,因此無法刪除或重新命名檔案。 無法停止 EventLog 服務,因為其他服務需要它,因此檔案一律會開啟。

解決方案

重要事項

這個章節、方法或工作包含修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必謹慎地依照這些步驟執行。 為了有多一層保護,請先備份登錄再進行修改。 如此一來,您就可以在發生問題時還原登錄。 如需詳細資訊,請 參閱如何在 Windows 中備份和還原登錄

NTFS 磁碟分區

  1. 選取 [開始] 按鈕,指向 [設定],選取 [控制台],然後按兩下 [服務]

  2. 選取 EventLog 服務 ,然後選取 [ 啟動]。 將 [啟動類型] 變更為 [ 已停用],然後選取 [ 確定]。 如果您無法登入電腦,但可以遠端存取登錄,您可以將下列登入機碼中的 [啟動] 值變更為 0x4: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog

  3. 重新啟動 Windows。

    注意事項

    當系統啟動時,有數個服務可能會失敗;通知使用者使用 事件檢視器 檢閱錯誤的訊息可能會出現。

  4. 從下列位置重新命名或移動損毀的 *.evt 檔案: %SystemRoot%\System32\Config

  5. 在 控制台 Services 工具中,將 EventLog 服務設定回 [自動啟動] 的預設值,或將登錄啟動值變更回 0x2,以重新啟用 EventLog 服務。

FAT 數據分割 (替代方法)

  1. 使用 DOS 可開機磁碟開機至 MS-DOS 提示。

  2. 從下列位置重新命名或移動損毀的 *.evt 檔案: %SystemRoot%\System32\Config

  3. 拿掉磁碟並重新啟動 Windows。

當 Windows 重新啟動時,將會重新建立事件記錄檔。