Windows-Server-2008-R2

事件記錄器無法啟動:錯誤 2 系統找不到指定的文件,Windows server 2008R2

  • August 27, 2014

**注意:**這是上一篇文章的“衍生”,處理了 2 個不同的問題並且變得太長了,所以我決定清理原始問題並將這個問題發佈在一個單獨的問題中

當我嘗試通過net start eventlog或 via啟動 Windows 事件日誌時Services panel,出現錯誤:

C:\Users\Administrator>net start eventlog
The Windows Event Log service is starting.
The Windows Event Log service could not be started.

A system error has occurred.

System error 2 has occurred.

The system cannot find the file specified.

我從這裡嘗試了以下建議

  1. 重新啟動作業系統(在主機的 VMWare 上虛擬)。
  2. 重新檢查了服務菜單中的設置-它們就像連結中的一樣。
  3. 檢查身份HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eventlog- 身份是NT AUTHORITY\LocalService
  4. 授予所有經過身份驗證的使用者完全訪問權限C:\Windows\System32\winevt\Logs
  5. 執行 fc /scannow - Windows 資源保護未發現任何完整性違規。
  6. 去了文件%windir%\logs\cbs\cbs.log - 一切都乾淨,$$ SR $$修復 0 個組件

**編輯:**解除安裝最近的系統更新並重新啟動 - 沒有幫助

**編輯:**從服務面板執行啟動服務時的 Sysinternals 程序監視器結果(提升模式下的 procmon):

  1. 過濾器:
process name is svchost.exe : include
operation contains TCP : exclude

擷取的事件是:

21:50:33.8105780    svchost.exe 772 Thread Create       SUCCESS Thread ID: 6088
21:50:33.8108848    svchost.exe 772 RegOpenKey  HKLM    SUCCESS Desired Access: Maximum Allowed, Granted Access: Read
21:50:33.8109134    svchost.exe 772 RegQueryKey HKLM    SUCCESS Query: HandleTags, HandleTags: 0x0
21:50:33.8109302    svchost.exe 772 RegOpenKey  HKLM\System\CurrentControlSet\Services  REPARSE Desired Access: Read
21:50:33.8109497    svchost.exe 772 RegOpenKey  HKLM\System\CurrentControlSet\Services  SUCCESS Desired Access: Read
21:50:33.8110051    svchost.exe 772 RegCloseKey HKLM    SUCCESS 
21:50:33.8110423    svchost.exe 772 RegQueryKey HKLM\System\CurrentControlSet\services  SUCCESS Query: HandleTags, HandleTags: 0x0
21:50:33.8110705    svchost.exe 772 RegOpenKey  HKLM\System\CurrentControlSet\services\eventlog SUCCESS Desired Access: Read
21:50:33.8110923    svchost.exe 772 RegQueryKey HKLM\System\CurrentControlSet\services\eventlog SUCCESS Query: HandleTags, HandleTags: 0x0
21:50:33.8111257    svchost.exe 772 RegOpenKey  HKLM\System\CurrentControlSet\services\eventlog\Parameters  SUCCESS Desired Access: Read
21:50:33.8111547    svchost.exe 772 RegCloseKey HKLM\System\CurrentControlSet\services  SUCCESS 
21:50:33.8111752    svchost.exe 772 RegCloseKey HKLM\System\CurrentControlSet\services\eventlog SUCCESS 
21:50:33.8111901    svchost.exe 772 RegQueryValue   HKLM\System\CurrentControlSet\services\eventlog\Parameters\ServiceDll   SUCCESS Type: REG_SZ, Length: 68, Data: %SystemRoot%\System32\wevtsvc.dll
21:50:33.8112148    svchost.exe 772 RegCloseKey HKLM\System\CurrentControlSet\services\eventlog\Parameters  SUCCESS 
21:50:33.8116552    svchost.exe 772 Thread Exit     SUCCESS Thread ID: 6088, User Time: 0.0000000, Kernel Time: 0.0000000

**注意:**以前,對於

21:46:31.6130476    svchost.exe 772 RegQueryValue   HKLM\System\CurrentControlSet\services\eventlog\Parameters\ServiceDll   SUCCESS Type: REG_SZ, Length: 68, Data: %SystemRoot%\System32\wevtsvc.dll

我也遇到了錯誤,所以我用名稱和數據(從上面的鍵複製)NAME NOT FOUND創建了新的字元串值,現在這個事件是Parameters``ServiceDll``%SystemRoot%\System32\wevtsvc.dll``HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog

21:46:31.6130476    svchost.exe 772 RegQueryValue   HKLM\System\CurrentControlSet\services\eventlog\Parameters\ServiceDll   SUCCESS Type: REG_SZ, Length: 68, Data: %SystemRoot%\System32\wevtsvc.dll

我還檢查了wevtsvc.dll這個地方的存在,它就在那裡。 2. 此外,我嘗試擷取包含路徑的所有事件,'event'並每隔幾秒觸發一次以下事件:

21:38:38.9185226    services.exe    492 RegQueryValue   HKLM\System\CurrentControlSet\services\EventSystem\Tag  NAME NOT FOUND  Length: 16
21:38:38.9185513    services.exe    492 RegQueryValue   HKLM\System\CurrentControlSet\services\EventSystem\DependOnGroup    NAME NOT FOUND  Length: 268
21:38:38.9185938    services.exe    492 RegQueryValue   HKLM\System\CurrentControlSet\services\EventSystem\Group    NAME NOT FOUND  Length: 268
  1. 此外,我嘗試擷取包含'file', 排除的所有事件,w3wp.exe, chrome.exe, wmiprvse.exe, wmtoolsd.exe, System並且它顯示在我嘗試啟動事件記錄器時沒有嘗試訪問任何文件(如果從 cmd 執行 - 執行檔有多次命中**,**net如果從執行則不存在控制板)。

編輯:事件記錄於 2014 年 5 月 4 日 03:15 停止工作。

那天唯一的變化是security update 2964444- Security Update for Internet Explorer 11 for Windows Server 2008 R2for x64-based Systems,它是在 2014 年 5 月 4 日 03:00 準確安裝的。顯然,這就是我的機器壞了…

可以做什麼?

解決問題的方法是刪除

HKLM\System\CurrentControlSet\services\eventlog\Parameters\ 

鑰匙。

正如我之前所說,我在 Process Monitor 中看到了這個錯誤,但選擇放一些鍵 - 這是我的錯誤。我應該刪除這個鍵。

引用自:https://serverfault.com/questions/597318