НОТА: это "порождение" предыдущий пост который касался двух разных проблем и стал слишком длинным, поэтому я решил очистить исходный вопрос и опубликовать его в отдельном вопросе
Когда я пытаюсь запустить журнал событий Windows через net start eventlog
или через Services panel
, Я получаю сообщение об ошибке:
C:\Users\Administrator>net start eventlog
The Windows Event Log service is starting.
The Windows Event Log service could not be started.
A system error has occurred.
System error 2 has occurred.
The system cannot find the file specified.
Я попробовал следуя совету я отсюда:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eventlog
- личность NT AUTHORITY\LocalService
C:\Windows\System32\winevt\Logs
%windir%\logs\cbs\cbs.log
- все чисто, [SR] Ремонт 0 компонентовРЕДАКТИРОВАТЬ: Удалил последние обновления системы и перезагрузился - не помогло
РЕДАКТИРОВАТЬ: Результаты Sysinternals Process Monitor при запуске службы запуска из панели служб (procmon в повышенном режиме):
фильтры:
process name is svchost.exe : include
operation contains TCP : exclude
зафиксированы следующие события:
21:50:33.8105780 svchost.exe 772 Thread Create SUCCESS Thread ID: 6088
21:50:33.8108848 svchost.exe 772 RegOpenKey HKLM SUCCESS Desired Access: Maximum Allowed, Granted Access: Read
21:50:33.8109134 svchost.exe 772 RegQueryKey HKLM SUCCESS Query: HandleTags, HandleTags: 0x0
21:50:33.8109302 svchost.exe 772 RegOpenKey HKLM\System\CurrentControlSet\Services REPARSE Desired Access: Read
21:50:33.8109497 svchost.exe 772 RegOpenKey HKLM\System\CurrentControlSet\Services SUCCESS Desired Access: Read
21:50:33.8110051 svchost.exe 772 RegCloseKey HKLM SUCCESS
21:50:33.8110423 svchost.exe 772 RegQueryKey HKLM\System\CurrentControlSet\services SUCCESS Query: HandleTags, HandleTags: 0x0
21:50:33.8110705 svchost.exe 772 RegOpenKey HKLM\System\CurrentControlSet\services\eventlog SUCCESS Desired Access: Read
21:50:33.8110923 svchost.exe 772 RegQueryKey HKLM\System\CurrentControlSet\services\eventlog SUCCESS Query: HandleTags, HandleTags: 0x0
21:50:33.8111257 svchost.exe 772 RegOpenKey HKLM\System\CurrentControlSet\services\eventlog\Parameters SUCCESS Desired Access: Read
21:50:33.8111547 svchost.exe 772 RegCloseKey HKLM\System\CurrentControlSet\services SUCCESS
21:50:33.8111752 svchost.exe 772 RegCloseKey HKLM\System\CurrentControlSet\services\eventlog SUCCESS
21:50:33.8111901 svchost.exe 772 RegQueryValue HKLM\System\CurrentControlSet\services\eventlog\Parameters\ServiceDll SUCCESS Type: REG_SZ, Length: 68, Data: %SystemRoot%\System32\wevtsvc.dll
21:50:33.8112148 svchost.exe 772 RegCloseKey HKLM\System\CurrentControlSet\services\eventlog\Parameters SUCCESS
21:50:33.8116552 svchost.exe 772 Thread Exit SUCCESS Thread ID: 6088, User Time: 0.0000000, Kernel Time: 0.0000000
НОТА: previoulsy, для
21:46:31.6130476 svchost.exe 772 RegQueryValue HKLM\System\CurrentControlSet\services\eventlog\Parameters\ServiceDll SUCCESS Type: REG_SZ, Length: 68, Data: %SystemRoot%\System32\wevtsvc.dll
У меня также есть NAME NOT FOUND
ошибка, поэтому я создал новое строковое значение для Parameters
с именем ServiceDll
и данные %SystemRoot%\System32\wevtsvc.dll
(скопировано с верхнего HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog
key) и это событие теперь
21:46:31.6130476 svchost.exe 772 RegQueryValue HKLM\System\CurrentControlSet\services\eventlog\Parameters\ServiceDll SUCCESS Type: REG_SZ, Length: 68, Data: %SystemRoot%\System32\wevtsvc.dll
Я также проверил наличие wevtsvc.dll
в том месте, и это там.
Кроме того, я попытался захватить все события с помощью пути, содержащего 'event'
и каждые несколько секунд срабатывают следующие события:
21:38:38.9185226 services.exe 492 RegQueryValue HKLM\System\CurrentControlSet\services\EventSystem\Tag NAME NOT FOUND Length: 16
21:38:38.9185513 services.exe 492 RegQueryValue HKLM\System\CurrentControlSet\services\EventSystem\DependOnGroup NAME NOT FOUND Length: 268
21:38:38.9185938 services.exe 492 RegQueryValue HKLM\System\CurrentControlSet\services\EventSystem\Group NAME NOT FOUND Length: 268
Также я попытался захватить все события, содержащие 'file'
, без учета w3wp.exe, chrome.exe, wmiprvse.exe, wmtoolsd.exe, System
и это показывает Нет пытается получить доступ к любому файлу, когда я пытаюсь запустить регистратор событий (при запуске из cmd - есть несколько совпадений с net
исполняемый файл, отсутствует при запуске из панели).
РЕДАКТИРОВАТЬ: регистрация событий перестала работать 04.05.2014 в 03:15.
Единственное изменение в тот день было security update 2964444
- Security Update for Internet Explorer 11 for Windows Server 2008 R2for x64-based Systems
, который был установлен ровно 04.05.2014 в 03:00. Видимо, вот что сломало мою машину ...
Что может быть сделано?
Проблема была решена путем удаления
HKLM\System\CurrentControlSet\services\eventlog\Parameters\
ключ.
Как я уже говорил ранее, я видел эту ошибку в Process Monitor, но решил добавить туда какой-то ключ - и это была моя ошибка. Вместо этого я должен был удалить этот ключ.