本文介绍一种方法,用于重命名或移动这些文件以进行故障排除。
原始 KB 数: 172156
现象
启动 Windows 事件查看器时,如果其中一个 *.evt 文件已损坏,则可能会出现以下错误消息之一:
句柄无效
沃森博士Services.exe
异常:访问冲突(0xc0000005),地址:0x76e073d4
在 Dr. Watson 错误消息中选择“ 确定 ”或“取消”时,可能还会收到以下错误消息:
事件查看器
远程过程调用失败
services.exe进程可能会消耗大量 CPU 使用率。
原因
事件查看器日志文件(Sysevent.evt、Appevent.evt、Secevent.evt)始终由系统使用,从而阻止文件被删除或重命名。 无法停止 EventLog 服务,因为其他服务需要它,因此文件始终处于打开状态。
解决方法
重要
此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,按以下步骤操作时请务必谨慎。 作为额外保护措施,请在修改注册表之前先将其备份。 如果之后出现问题,您就可以还原注册表。 有关详细信息,请参阅 如何在 Windows 中备份和还原注册表
NTFS 分区
选择“开始”按钮,指向“设置”,选择控制面板,然后双击“服务”。
选择 EventLog 服务 ,然后选择“ 启动”。 将启动类型更改为 “已禁用”,然后选择“ 确定”。 如果无法登录计算机,但可以远程访问注册表,则可以将以下注册表项中的 Startup 值更改为0x4:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog重启 Windows。
注意
系统启动时,多个服务可能会失败;通知用户使用事件查看器查看错误的消息可能会出现。
从以下位置重命名或移动损坏的 *.evt 文件:
%SystemRoot%\System32\Config在 控制面板 服务工具中,通过将 EventLog 服务设置回默认的自动启动来重新启用 EventLog 服务,或者将注册表启动值更改回0x2。
FAT 分区 (替代方法)
使用 DOS 可启动磁盘启动到 MS-DOS 提示符。
从以下位置重命名或移动损坏的 *.evt 文件:
%SystemRoot%\System32\Config删除磁盘并重启 Windows。
重启 Windows 后,将重新创建事件日志文件。