web-dev-qa-db-ja.com

イベントロガーが起動しない:エラー2システムは指定されたファイルを見つけることができません、Windowsサーバー2008R2

注:これは、 前の投稿 の「スポーン」で、2つの異なる問題を扱い、長すぎるため、元の質問を整理し、この問題を別の質問に投稿することにしました

net start eventlogまたはServices panelを介してWindowsイベントログを開始しようとすると、エラーが発生します。

C:\Users\Administrator>net start eventlog
The Windows Event Log service is starting.
The Windows Event Log service could not be started.

A system error has occurred.

System error 2 has occurred.

The system cannot find the file specified.

私はここから 以下のアドバイスを試しました

  1. oSを再起動しました(ホストのVMWare上で仮想)。
  2. サービスメニューの設定を再確認しました-それらはリンクに似ています。
  3. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eventlogのIDを確認しました-IDはNT AUTHORITY\LocalServiceです
  4. すべての認証済みユーザーにC:\Windows\System32\winevt\Logsへのフルアクセスを付与しました
  5. fc/scannowを実行しました-Windowsリソース保護は整合性違反を検出しませんでした。
  6. ファイル%windir%\logs\cbs\cbs.logに移動-すべてクリーン、[SR] 0個のコンポーネントを修復

EDIT:最近のシステムアップデートをアンインストールして再起動しました-助けにはなりませんでした

EDIT:サービスパネルから起動サービスを実行したときのSysinternals Process Monitorの結果(昇格モードのprocmon):

  1. フィルター:

    process name is svchost.exe : include
operation contains TCP : exclude

    キャプチャされるイベントは次のとおりです。

    21:50:33.8105780    svchost.exe 772 Thread Create       SUCCESS Thread ID: 6088
21:50:33.8108848    svchost.exe 772 RegOpenKey  HKLM    SUCCESS Desired Access: Maximum Allowed, Granted Access: Read
21:50:33.8109134    svchost.exe 772 RegQueryKey HKLM    SUCCESS Query: HandleTags, HandleTags: 0x0
21:50:33.8109302    svchost.exe 772 RegOpenKey  HKLM\System\CurrentControlSet\Services  REPARSE Desired Access: Read
21:50:33.8109497    svchost.exe 772 RegOpenKey  HKLM\System\CurrentControlSet\Services  SUCCESS Desired Access: Read
21:50:33.8110051    svchost.exe 772 RegCloseKey HKLM    SUCCESS 
21:50:33.8110423    svchost.exe 772 RegQueryKey HKLM\System\CurrentControlSet\services  SUCCESS Query: HandleTags, HandleTags: 0x0
21:50:33.8110705    svchost.exe 772 RegOpenKey  HKLM\System\CurrentControlSet\services\eventlog SUCCESS Desired Access: Read
21:50:33.8110923    svchost.exe 772 RegQueryKey HKLM\System\CurrentControlSet\services\eventlog SUCCESS Query: HandleTags, HandleTags: 0x0
21:50:33.8111257    svchost.exe 772 RegOpenKey  HKLM\System\CurrentControlSet\services\eventlog\Parameters  SUCCESS Desired Access: Read
21:50:33.8111547    svchost.exe 772 RegCloseKey HKLM\System\CurrentControlSet\services  SUCCESS 
21:50:33.8111752    svchost.exe 772 RegCloseKey HKLM\System\CurrentControlSet\services\eventlog SUCCESS 
21:50:33.8111901    svchost.exe 772 RegQueryValue   HKLM\System\CurrentControlSet\services\eventlog\Parameters\ServiceDll   SUCCESS Type: REG_SZ, Length: 68, Data: %SystemRoot%\System32\wevtsvc.dll
21:50:33.8112148    svchost.exe 772 RegCloseKey HKLM\System\CurrentControlSet\services\eventlog\Parameters  SUCCESS 
21:50:33.8116552    svchost.exe 772 Thread Exit     SUCCESS Thread ID: 6088, User Time: 0.0000000, Kernel Time: 0.0000000

    注:previoulsy、for

    21:46:31.6130476    svchost.exe 772 RegQueryValue   HKLM\System\CurrentControlSet\services\eventlog\Parameters\ServiceDll   SUCCESS Type: REG_SZ, Length: 68, Data: %SystemRoot%\System32\wevtsvc.dll

    また、NAME NOT FOUNDエラーが発生したため、Parametersという名前のServiceDllとデータ%SystemRoot%\System32\wevtsvc.dll(上のHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlogキーからコピー)の新しい文字列値を作成しました。このイベントは

    21:46:31.6130476    svchost.exe 772 RegQueryValue   HKLM\System\CurrentControlSet\services\eventlog\Parameters\ServiceDll   SUCCESS Type: REG_SZ, Length: 68, Data: %SystemRoot%\System32\wevtsvc.dll

    また、場所にwevtsvc.dllがあるかどうかも確認しました。

  2. また、'event'を含むパスを使用してすべてのイベントをキャプチャしようとしましたが、数秒ごとに次のイベントが発生しました。

    21:38:38.9185226    services.exe    492 RegQueryValue   HKLM\System\CurrentControlSet\services\EventSystem\Tag  NAME NOT FOUND  Length: 16
21:38:38.9185513    services.exe    492 RegQueryValue   HKLM\System\CurrentControlSet\services\EventSystem\DependOnGroup    NAME NOT FOUND  Length: 268
21:38:38.9185938    services.exe    492 RegQueryValue   HKLM\System\CurrentControlSet\services\EventSystem\Group    NAME NOT FOUND  Length: 268

  3. また、'file'を除く、w3wp.exe, chrome.exe, wmiprvse.exe, wmtoolsd.exe, Systemを含むすべてのイベントをキャプチャしようとしたところ、[〜#〜] no [〜#〜]イベントロガーを起動しようとしたときに、ファイルにアクセスしようとします(cmdから実行した場合-net実行可能ファイルによっていくつかのヒットがあり、パネルから実行した場合は存在しません)。

[〜#〜] edit [〜#〜]:イベントログが2014年5月4日の03:15に機能を停止しました。

その日の唯一の変更はsecurity update 2964444-Security Update for Internet Explorer 11 for Windows Server 2008 R2for x64-based Systemsで、2014年5月4日03:00にインストールされました。どうやら、それが私のマシンを壊したものです...

何ができますか?

windows-server-2008-r2windows-servicewindows-event-log
4
alex440

問題を解決したのは、

HKLM\System\CurrentControlSet\services\eventlog\Parameters\

キー。

前に述べたように、私はこのエラーをProcess Monitorで見ましたが、いくつかのキーをそこに置くことを選択しました-それは私の間違いでした。代わりにこのキーを削除する必要があります。

2
alex440