我理解状态代码0xc0000008
意味着无效句柄。
您如何解决这个问题(除了重新启动)?
确定此问题原因的最佳方法是什么?
Log Name: Security
Source: Security
Date: 5/22/2014 8:44:18 AM
Event ID: 521
Task Category: System Event
Level: Information
Keywords: Classic,Audit Success
User: SYSTEM
Computer: hostname
Description:
Unable to log events to security log:
Status code: 0xc0000008
Value of CrashOnAuditFail: 0
Number of failed audits: 51
答案1
无效句柄意味着进程尝试打开文件但失败了。在这种情况下,该文件可能是%SystemRoot%\System32\Winevt\Logs\Security.evtx
安全事件日志文件。您需要开始调查为什么该文件无法打开。
首先创建一个新.evtx
文件并检查“覆盖事件日志”设置。确保在抓取事件时没有其他进程(本地或远程)占用它。确保您有足够的硬盘空间,以便有足够的空间写入文件。检查是否存在底层硬件故障和/或文件系统损坏。
如果这没有发现可能的原因,您将需要收集更多信息。如果您将 SysInteral 的 ProcMon 附加到 EventLog 进程中,它可能会很有用(请参阅我的回答请参阅此处的示例。如果您仍未发现任何明显的原因,最好的办法是联系 Microsoft 支持。
答案2
重新启动服务器即可解决此问题