Procédure de suppression des fichiers journaux endommagés de l’observateur d’événements

Cet article décrit une méthode permettant de renommer ou de déplacer ces fichiers à des fins de résolution des problèmes.

Version du produit d’origine :   Windows Server 2012 R2
Numéro de la base de connaissances initiale :   172156

Symptômes

Lorsque vous lancez l’observateur d’événements Windows, l’un des messages d’erreur suivants peut se produire si l’un des fichiers *. evt est endommagé :

Le descripteur n’est pas valide

Services.exe Dr. Watson
Exception : violation d’accès (0xc0000005), Address : 0x76e073d4

Lorsque vous cliquez sur OK ou sur Annuler dans le message d’erreur Dr. Watson, vous pouvez également recevoir le message d’erreur suivant :

Observateur d'événements
Échec de l’appel de procédure distante

Le processus de services.exe peut consommer un pourcentage élevé d’utilisation du processeur.

Cause

Les fichiers journaux de l’observateur d’événements (SYSEVENT. evt, AppEvent. evt, SecEvent. evt) sont toujours utilisés par le système, ce qui empêche la suppression ou le changement de nom des fichiers. Le service EventLog ne peut pas être arrêté, car il est requis par d’autres services, de sorte que les fichiers sont toujours ouverts.

Résolution

Important

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations, reportez-vous à la rubrique How to back up and Restore the Registry dans Windows

Partition NTFS

  1. Sélectionnez le bouton Démarrer , pointez sur paramètres, cliquez sur panneau de configuration, puis double-cliquez sur services.

  2. Sélectionnez le service EventLog et sélectionnez démarrage. Modifiez le type de démarrage sur désactivé, puis sélectionnez OK. Si vous ne parvenez pas à vous connecter à l’ordinateur mais que vous pouvez accéder au registre à distance, vous pouvez modifier la valeur de démarrage dans la clé de Registre suivante en 0x4 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog

  3. Redémarrez Windows.

    Notes

    Lorsque le système démarre, plusieurs services peuvent échouer ; message informant l’utilisateur d’utiliser l’observateur d’événements pour examiner les erreurs pouvant apparaître.

  4. Renommez ou déplacez le fichier *. evt endommagé à l’emplacement suivant : %SystemRoot%\System32\Config

  5. Dans l’outil services du panneau de configuration, réactivez le service EventLog en le redéfinissant sur la valeur par défaut de démarrage automatique ou rétablissez la valeur de démarrage du Registre sur 0X2.

Partition FAT (méthode alternative)

  1. Démarrez à partir d’une invite MS-DOS en utilisant une disquette de démarrage DOS.

  2. Renommez ou déplacez le fichier *. evt endommagé à l’emplacement suivant : %SystemRoot%\System32\Config

  3. Retirez le disque et redémarrez Windows.

Lorsque Windows est redémarré, le fichier journal des événements est recréé.