Windows 2008 R2 服务器安全日志填充事件 521

Windows 2008 R2 服务器安全日志填充事件 521

我理解状态代码0xc0000008意味着无效句柄。

您如何解决这个问题(除了重新启动)?

确定此问题原因的最佳方法是什么?

Log Name:      Security
Source:        Security
Date:          5/22/2014 8:44:18 AM
Event ID:      521
Task Category: System Event
Level:         Information
Keywords:      Classic,Audit Success
User:          SYSTEM
Computer:      hostname
Description:
Unable to log events to security log:
    Status code:        0xc0000008
    Value of CrashOnAuditFail:  0
    Number of failed audits:    51

答案1

无效句柄意味着进程尝试打开文件但失败了。在这种情况下,该文件可能是%SystemRoot%\System32\Winevt\Logs\Security.evtx安全事件日志文件。您需要开始调查为什么该文件无法打开。

首先创建一个新.evtx文件并检查“覆盖事件日志”设置。确保在抓取事件时没有其他进程(本地或远程)占用它。确保您有足够的硬盘空间,以便有足够的空间写入文件。检查是否存在底层硬件故障和/或文件系统损坏。

如果这没有发现可能的原因,您将需要收集更多信息。如果您将 SysInteral 的 ProcMon 附加到 EventLog 进程中,它可能会很有用(请参阅我的回答请参阅此处的示例。如果您仍未发现任何明显的原因,最好的办法是联系 Microsoft 支持。

答案2

重新启动服务器即可解决此问题

ms technet 源

相关内容