笔记:这是一个“衍生”上一篇涉及两个不同的问题,篇幅过长,因此我决定清理原始问题,并将此问题发布在一个单独的问题中
当我尝试通过net start eventlog或通过启动 Windows 事件日志时Services panel,出现错误:
C:\Users\Administrator>net start eventlog
The Windows Event Log service is starting.
The Windows Event Log service could not be started.
A system error has occurred.
System error 2 has occurred.
The system cannot find the file specified.
我尝试过我从这里听取了建议:
- 重新启动操作系统(在主机的 VMWare 上虚拟)。
- 重新检查了服务菜单中的设置 - 它们就像链接中的一样。
- 已登记身份
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eventlog- 身份是NT AUTHORITY\LocalService - 授予所有经过身份验证的用户完全访问权限
C:\Windows\System32\winevt\Logs - 运行 fc /scannow-Windows 资源保护未发现任何完整性违规。
- 进入文件
%windir%\logs\cbs\cbs.log- 全部干净,[SR] 修复 0 个组件
编辑:卸载了最近的系统更新并重新启动 - 没有帮助
编辑:从服务面板运行启动服务时 Sysinternals 进程监视器的结果(提升模式下的 procmon):
过滤器:
process name is svchost.exe : include operation contains TCP : exclude捕获的事件包括:
21:50:33.8105780 svchost.exe 772 Thread Create SUCCESS Thread ID: 6088 21:50:33.8108848 svchost.exe 772 RegOpenKey HKLM SUCCESS Desired Access: Maximum Allowed, Granted Access: Read 21:50:33.8109134 svchost.exe 772 RegQueryKey HKLM SUCCESS Query: HandleTags, HandleTags: 0x0 21:50:33.8109302 svchost.exe 772 RegOpenKey HKLM\System\CurrentControlSet\Services REPARSE Desired Access: Read 21:50:33.8109497 svchost.exe 772 RegOpenKey HKLM\System\CurrentControlSet\Services SUCCESS Desired Access: Read 21:50:33.8110051 svchost.exe 772 RegCloseKey HKLM SUCCESS 21:50:33.8110423 svchost.exe 772 RegQueryKey HKLM\System\CurrentControlSet\services SUCCESS Query: HandleTags, HandleTags: 0x0 21:50:33.8110705 svchost.exe 772 RegOpenKey HKLM\System\CurrentControlSet\services\eventlog SUCCESS Desired Access: Read 21:50:33.8110923 svchost.exe 772 RegQueryKey HKLM\System\CurrentControlSet\services\eventlog SUCCESS Query: HandleTags, HandleTags: 0x0 21:50:33.8111257 svchost.exe 772 RegOpenKey HKLM\System\CurrentControlSet\services\eventlog\Parameters SUCCESS Desired Access: Read 21:50:33.8111547 svchost.exe 772 RegCloseKey HKLM\System\CurrentControlSet\services SUCCESS 21:50:33.8111752 svchost.exe 772 RegCloseKey HKLM\System\CurrentControlSet\services\eventlog SUCCESS 21:50:33.8111901 svchost.exe 772 RegQueryValue HKLM\System\CurrentControlSet\services\eventlog\Parameters\ServiceDll SUCCESS Type: REG_SZ, Length: 68, Data: %SystemRoot%\System32\wevtsvc.dll 21:50:33.8112148 svchost.exe 772 RegCloseKey HKLM\System\CurrentControlSet\services\eventlog\Parameters SUCCESS 21:50:33.8116552 svchost.exe 772 Thread Exit SUCCESS Thread ID: 6088, User Time: 0.0000000, Kernel Time: 0.0000000笔记:以前,对于
21:46:31.6130476 svchost.exe 772 RegQueryValue HKLM\System\CurrentControlSet\services\eventlog\Parameters\ServiceDll SUCCESS Type: REG_SZ, Length: 68, Data: %SystemRoot%\System32\wevtsvc.dll我也遇到了错误,所以我用名称和数据(从上面的键复制)
NAME NOT FOUND创建了新的字符串值,现在这个事件是ParametersServiceDll%SystemRoot%\System32\wevtsvc.dllHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog21:46:31.6130476 svchost.exe 772 RegQueryValue HKLM\System\CurrentControlSet\services\eventlog\Parameters\ServiceDll SUCCESS Type: REG_SZ, Length: 68, Data: %SystemRoot%\System32\wevtsvc.dll我也检查了该地方是否存在
wevtsvc.dll,它就在那里。另外,我尝试捕获所有包含路径的事件
'event',并且每隔几秒就会触发以下事件:21:38:38.9185226 services.exe 492 RegQueryValue HKLM\System\CurrentControlSet\services\EventSystem\Tag NAME NOT FOUND Length: 16 21:38:38.9185513 services.exe 492 RegQueryValue HKLM\System\CurrentControlSet\services\EventSystem\DependOnGroup NAME NOT FOUND Length: 268 21:38:38.9185938 services.exe 492 RegQueryValue HKLM\System\CurrentControlSet\services\EventSystem\Group NAME NOT FOUND Length: 268另外,我尝试捕获所有包含 的事件
'file',但不包括w3wp.exe, chrome.exe, wmiprvse.exe, wmtoolsd.exe, System,它显示不当我尝试启动事件记录器时尝试访问任何文件(如果从 cmd 运行 -net则可执行文件会出现几次命中,如果从面板运行则不存在)。
编辑:事件记录于 2014 年 5 月 4 日 03:15 停止工作。
那天唯一的变化是security update 2964444- Security Update for Internet Explorer 11 for Windows Server 2008 R2for x64-based Systems,安装时间为 2014 年 5 月 4 日凌晨 3 点。显然,这就是导致我的机器损坏的原因……
我们能做什么?
答案1
解决问题的方法是删除
HKLM\System\CurrentControlSet\services\eventlog\Parameters\
钥匙。
正如我之前所说,我在 Process Monitor 中看到了这个错误,但选择将某个键放在那里 - 这是我的错误。我应该删除这个键。