Назад | Перейти на главную страницу

Журнал событий не запускается: ошибка 2 Система не может найти указанный файл, Windows server 2008R2

НОТА: это "порождение" предыдущий пост который касался двух разных проблем и стал слишком длинным, поэтому я решил очистить исходный вопрос и опубликовать его в отдельном вопросе

Когда я пытаюсь запустить журнал событий Windows через net start eventlog или через Services panel, Я получаю сообщение об ошибке:

C:\Users\Administrator>net start eventlog
The Windows Event Log service is starting.
The Windows Event Log service could not be started.

A system error has occurred.

System error 2 has occurred.

The system cannot find the file specified.

Я попробовал следуя совету я отсюда:

  1. перезапустил ОС (виртуально на VMWare хоста).
  2. перепроверил настройки в меню сервисов - они как в ссылке.
  3. проверил личность в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eventlog - личность NT AUTHORITY\LocalService
  4. предоставил всем прошедшим проверку пользователям полный доступ к C:\Windows\System32\winevt\Logs
  5. запустил fc / scannow - Windows Resource Protection не обнаружила нарушений целостности.
  6. пошел в файл %windir%\logs\cbs\cbs.log - все чисто, [SR] Ремонт 0 компонентов

РЕДАКТИРОВАТЬ: Удалил последние обновления системы и перезагрузился - не помогло

РЕДАКТИРОВАТЬ: Результаты Sysinternals Process Monitor при запуске службы запуска из панели служб (procmon в повышенном режиме):

  1. фильтры:

    process name is svchost.exe : include
    operation contains TCP : exclude
    

    зафиксированы следующие события:

    21:50:33.8105780    svchost.exe 772 Thread Create       SUCCESS Thread ID: 6088
    21:50:33.8108848    svchost.exe 772 RegOpenKey  HKLM    SUCCESS Desired Access: Maximum Allowed, Granted Access: Read
    21:50:33.8109134    svchost.exe 772 RegQueryKey HKLM    SUCCESS Query: HandleTags, HandleTags: 0x0
    21:50:33.8109302    svchost.exe 772 RegOpenKey  HKLM\System\CurrentControlSet\Services  REPARSE Desired Access: Read
    21:50:33.8109497    svchost.exe 772 RegOpenKey  HKLM\System\CurrentControlSet\Services  SUCCESS Desired Access: Read
    21:50:33.8110051    svchost.exe 772 RegCloseKey HKLM    SUCCESS 
    21:50:33.8110423    svchost.exe 772 RegQueryKey HKLM\System\CurrentControlSet\services  SUCCESS Query: HandleTags, HandleTags: 0x0
    21:50:33.8110705    svchost.exe 772 RegOpenKey  HKLM\System\CurrentControlSet\services\eventlog SUCCESS Desired Access: Read
    21:50:33.8110923    svchost.exe 772 RegQueryKey HKLM\System\CurrentControlSet\services\eventlog SUCCESS Query: HandleTags, HandleTags: 0x0
    21:50:33.8111257    svchost.exe 772 RegOpenKey  HKLM\System\CurrentControlSet\services\eventlog\Parameters  SUCCESS Desired Access: Read
    21:50:33.8111547    svchost.exe 772 RegCloseKey HKLM\System\CurrentControlSet\services  SUCCESS 
    21:50:33.8111752    svchost.exe 772 RegCloseKey HKLM\System\CurrentControlSet\services\eventlog SUCCESS 
    21:50:33.8111901    svchost.exe 772 RegQueryValue   HKLM\System\CurrentControlSet\services\eventlog\Parameters\ServiceDll   SUCCESS Type: REG_SZ, Length: 68, Data: %SystemRoot%\System32\wevtsvc.dll
    21:50:33.8112148    svchost.exe 772 RegCloseKey HKLM\System\CurrentControlSet\services\eventlog\Parameters  SUCCESS 
    21:50:33.8116552    svchost.exe 772 Thread Exit     SUCCESS Thread ID: 6088, User Time: 0.0000000, Kernel Time: 0.0000000
    

    НОТА: previoulsy, для

    21:46:31.6130476    svchost.exe 772 RegQueryValue   HKLM\System\CurrentControlSet\services\eventlog\Parameters\ServiceDll   SUCCESS Type: REG_SZ, Length: 68, Data: %SystemRoot%\System32\wevtsvc.dll
    

    У меня также есть NAME NOT FOUND ошибка, поэтому я создал новое строковое значение для Parameters с именем ServiceDll и данные %SystemRoot%\System32\wevtsvc.dll (скопировано с верхнего HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog key) и это событие теперь

    21:46:31.6130476    svchost.exe 772 RegQueryValue   HKLM\System\CurrentControlSet\services\eventlog\Parameters\ServiceDll   SUCCESS Type: REG_SZ, Length: 68, Data: %SystemRoot%\System32\wevtsvc.dll
    

    Я также проверил наличие wevtsvc.dll в том месте, и это там.

  2. Кроме того, я попытался захватить все события с помощью пути, содержащего 'event' и каждые несколько секунд срабатывают следующие события:

    21:38:38.9185226    services.exe    492 RegQueryValue   HKLM\System\CurrentControlSet\services\EventSystem\Tag  NAME NOT FOUND  Length: 16
    21:38:38.9185513    services.exe    492 RegQueryValue   HKLM\System\CurrentControlSet\services\EventSystem\DependOnGroup    NAME NOT FOUND  Length: 268
    21:38:38.9185938    services.exe    492 RegQueryValue   HKLM\System\CurrentControlSet\services\EventSystem\Group    NAME NOT FOUND  Length: 268
    
  3. Также я попытался захватить все события, содержащие 'file', без учета w3wp.exe, chrome.exe, wmiprvse.exe, wmtoolsd.exe, System и это показывает Нет пытается получить доступ к любому файлу, когда я пытаюсь запустить регистратор событий (при запуске из cmd - есть несколько совпадений с net исполняемый файл, отсутствует при запуске из панели).

РЕДАКТИРОВАТЬ: регистрация событий перестала работать 04.05.2014 в 03:15.

Единственное изменение в тот день было security update 2964444 - Security Update for Internet Explorer 11 for Windows Server 2008 R2for x64-based Systems, который был установлен ровно 04.05.2014 в 03:00. Видимо, вот что сломало мою машину ...

Что может быть сделано?

Проблема была решена путем удаления

HKLM\System\CurrentControlSet\services\eventlog\Parameters\ 

ключ.

Как я уже говорил ранее, я видел эту ошибку в Process Monitor, но решил добавить туда какой-то ключ - и это была моя ошибка. Вместо этого я должен был удалить этот ключ.