破損したイベント ビューアー ログ ファイルを削除する方法

この記事では、トラブルシューティングの目的でこれらのファイルの名前を変更または移動する方法について説明します。

適用対象:  Windows Server 2012R2
元の KB 番号:   172156

現象

イベント ビューアーをWindows、*.evt ファイルの 1 つが破損している場合、次のいずれかのエラー メッセージが表示される場合があります。

ハンドルが無効です

Watson Services.exe
例外: アクセス違反 (0xc0000005)、アドレス: 0x76e073d4

Dr. Watson エラー メッセージで [OK] または [キャンセル] を選択すると、次のエラー メッセージが表示される場合があります。

イベント ビューアー
リモート プロシージャ呼び出しに失敗しました

このプロセスservices.exe CPU 使用率の高い割合を消費する可能性があります。

原因

イベント ビューアー ログ ファイル (Sysevent.evtAppevent.evtSecevent.evt) は常にシステムによって使用され、ファイルが削除または名前変更されるのを防ぐ。 他のサービスが必要とするため、EventLog サービスを停止できないので、ファイルは常に開きます。

解決方法

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 詳細については、「レジストリをバックアップおよび復元する方法」を参照Windows

NTFS パーティション

  1. [スタート]ボタンを選択 し、[設定]**をポイントし、[**コントロール パネル] を選択し、[サービス] を ダブルクリックします

  2. EventLog サービスを選択し、[ スタートアップ] を 選択します。 [スタートアップの種類] を [ 無効] に変更、[OK] を選択します。 コンピューターにサインインできず、リモートでレジストリにアクセスできる場合は、次のレジストリ キーの Startup 値を次のレジストリ キーで変更0x4。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog

  3. 再起動Windows。

    注意

    システムが起動すると、いくつかのサービスが失敗することがあります。イベント ビューアーを使用してエラーを確認するメッセージが表示される場合があります。

  4. 破損した *.evt ファイルの名前を変更するか、次の場所から移動します。 %SystemRoot%\System32\Config

  5. コントロール パネル サービス ツールで、EventLog サービスを既定の [自動起動] に戻して再び有効にするか、レジストリのスタートアップ値を [スタートアップ] に戻0x2。

FAT パーティション (代替メソッド)

  1. DOS 起動可能ディスクを使用して MS-DOS プロンプトを起動します。

  2. 破損した *.evt ファイルの名前を変更するか、次の場所から移動します。 %SystemRoot%\System32\Config

  3. ディスクを削除し、ディスクをWindows。

このWindowsすると、イベント ログ ファイルが再作成されます。