事件记录器无法启动:错误 2 系统找不到指定的文件,Windows server 2008R2

事件记录器无法启动:错误 2 系统找不到指定的文件,Windows server 2008R2

笔记:这是一个“衍生”上一篇涉及两个不同的问题,篇幅过长,因此我决定清理原始问题,并将此问题发布在一个单独的问题中

当我尝试通过net start eventlog或通过启动 Windows 事件日志时Services panel,出现错误:

C:\Users\Administrator>net start eventlog
The Windows Event Log service is starting.
The Windows Event Log service could not be started.

A system error has occurred.

System error 2 has occurred.

The system cannot find the file specified.

我尝试过我从这里听取了建议

  1. 重新启动操作系统(在主机的 VMWare 上虚拟)。
  2. 重新检查了服务菜单中的设置 - 它们就像链接中的一样。
  3. 已登记身份HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eventlog- 身份是NT AUTHORITY\LocalService
  4. 授予所有经过身份验证的用户完全访问权限C:\Windows\System32\winevt\Logs
  5. 运行 fc /scannow-Windows 资源保护未发现任何完整性违规。
  6. 进入文件%windir%\logs\cbs\cbs.log - 全部干净,[SR] 修复 0 个组件

编辑:卸载了最近的系统更新并重新启动 - 没有帮助

编辑:从服务面板运行启动服务时 Sysinternals 进程监视器的结果(提升模式下的 procmon):

  1. 过滤器:

    process name is svchost.exe : include
    operation contains TCP : exclude
    

    捕获的事件包括:

    21:50:33.8105780    svchost.exe 772 Thread Create       SUCCESS Thread ID: 6088
    21:50:33.8108848    svchost.exe 772 RegOpenKey  HKLM    SUCCESS Desired Access: Maximum Allowed, Granted Access: Read
    21:50:33.8109134    svchost.exe 772 RegQueryKey HKLM    SUCCESS Query: HandleTags, HandleTags: 0x0
    21:50:33.8109302    svchost.exe 772 RegOpenKey  HKLM\System\CurrentControlSet\Services  REPARSE Desired Access: Read
    21:50:33.8109497    svchost.exe 772 RegOpenKey  HKLM\System\CurrentControlSet\Services  SUCCESS Desired Access: Read
    21:50:33.8110051    svchost.exe 772 RegCloseKey HKLM    SUCCESS 
    21:50:33.8110423    svchost.exe 772 RegQueryKey HKLM\System\CurrentControlSet\services  SUCCESS Query: HandleTags, HandleTags: 0x0
    21:50:33.8110705    svchost.exe 772 RegOpenKey  HKLM\System\CurrentControlSet\services\eventlog SUCCESS Desired Access: Read
    21:50:33.8110923    svchost.exe 772 RegQueryKey HKLM\System\CurrentControlSet\services\eventlog SUCCESS Query: HandleTags, HandleTags: 0x0
    21:50:33.8111257    svchost.exe 772 RegOpenKey  HKLM\System\CurrentControlSet\services\eventlog\Parameters  SUCCESS Desired Access: Read
    21:50:33.8111547    svchost.exe 772 RegCloseKey HKLM\System\CurrentControlSet\services  SUCCESS 
    21:50:33.8111752    svchost.exe 772 RegCloseKey HKLM\System\CurrentControlSet\services\eventlog SUCCESS 
    21:50:33.8111901    svchost.exe 772 RegQueryValue   HKLM\System\CurrentControlSet\services\eventlog\Parameters\ServiceDll   SUCCESS Type: REG_SZ, Length: 68, Data: %SystemRoot%\System32\wevtsvc.dll
    21:50:33.8112148    svchost.exe 772 RegCloseKey HKLM\System\CurrentControlSet\services\eventlog\Parameters  SUCCESS 
    21:50:33.8116552    svchost.exe 772 Thread Exit     SUCCESS Thread ID: 6088, User Time: 0.0000000, Kernel Time: 0.0000000
    

    笔记:以前,对于

    21:46:31.6130476    svchost.exe 772 RegQueryValue   HKLM\System\CurrentControlSet\services\eventlog\Parameters\ServiceDll   SUCCESS Type: REG_SZ, Length: 68, Data: %SystemRoot%\System32\wevtsvc.dll
    

    我也遇到了错误,所以我用名称和数据(从上面的键复制)NAME NOT FOUND创建了新的字符串值,现在这个事件是ParametersServiceDll%SystemRoot%\System32\wevtsvc.dllHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog

    21:46:31.6130476    svchost.exe 772 RegQueryValue   HKLM\System\CurrentControlSet\services\eventlog\Parameters\ServiceDll   SUCCESS Type: REG_SZ, Length: 68, Data: %SystemRoot%\System32\wevtsvc.dll
    

    我也检查了该地方是否存在wevtsvc.dll,它就在那里。

  2. 另外,我尝试捕获所有包含路径的事件'event',并且每隔几秒就会触发以下事件:

    21:38:38.9185226    services.exe    492 RegQueryValue   HKLM\System\CurrentControlSet\services\EventSystem\Tag  NAME NOT FOUND  Length: 16
    21:38:38.9185513    services.exe    492 RegQueryValue   HKLM\System\CurrentControlSet\services\EventSystem\DependOnGroup    NAME NOT FOUND  Length: 268
    21:38:38.9185938    services.exe    492 RegQueryValue   HKLM\System\CurrentControlSet\services\EventSystem\Group    NAME NOT FOUND  Length: 268
    
  3. 另外,我尝试捕获所有包含 的事件'file',但不包括w3wp.exe, chrome.exe, wmiprvse.exe, wmtoolsd.exe, System,它显示当我尝试启动事件记录器时尝试访问任何文件(如果从 cmd 运行 -net则可执行文件会出现几次命中,如果从面板运行则不存在)。

编辑:事件记录于 2014 年 5 月 4 日 03:15 停止工作。

那天唯一的变化是security update 2964444- Security Update for Internet Explorer 11 for Windows Server 2008 R2for x64-based Systems,安装时间为 2014 年 5 月 4 日凌晨 3 点。显然,这就是导致我的机器损坏的原因……

我们能做什么?

答案1

解决问题的方法是删除

HKLM\System\CurrentControlSet\services\eventlog\Parameters\ 

钥匙。

正如我之前所说,我在 Process Monitor 中看到了这个错误,但选择将某个键放在那里 - 这是我的错误。我应该删除这个键。

相关内容