如何删除损坏的事件查看器日志文件

本文介绍一种用于重命名或移动这些文件以进行故障排除的方法。

适用于:  Windows Server 2012R2
原始 KB 编号:   172156

症状

启动事件Windows时,如果 *.evt 文件之一已损坏,则可能会出现以下错误消息之一:

句柄无效

Watson Services.exe
异常:访问冲突 (0xc0000005) ,地址:0x76e073d4

当您在 Dr. Watson 错误消息中选择"确定"或取消时,您也可能收到以下错误消息:

事件查看器
远程过程调用失败

进程services.exe占用大量 CPU 使用率。

原因

系统始终使用事件查看器日志文件 (Sysevent.evt、Appevent.evt、Secevent.evt) ,以防止文件被删除或重命名。 无法停止 EventLog 服务,因为其他服务需要该服务,因此文件始终打开。

解决方案

重要

此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,请务必严格按照这些步骤操作。 为了加强保护,应先备份注册表,再进行修改。 如果出现问题,可以还原注册表。 有关详细信息,请参阅如何备份和还原注册表Windows

NTFS 分区

  1. 选择"开始" 按钮,指向"设置",选择 "控制面板",然后双击"服务 "。

  2. 选择 EventLog 服务, 然后选择"启动 "。 将"启动类型"更改为"已禁用", 然后选择"确定 "。 如果无法登录计算机,但可以远程访问注册表,可以将以下注册表项中的 Startup 值更改为0x4: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog

  3. 重新启动Windows。

    备注

    当系统启动时,多个服务可能会失败;可能会显示一条消息,通知用户使用事件查看器查看错误。

  4. 从以下位置重命名或移动损坏的 *.evt 文件: %SystemRoot%\System32\Config

  5. 在"控制面板服务"工具中,重新启用 EventLog 服务,方法为将该服务重新设置为"自动启动"的默认值,或将注册表的"启动"值更改回0x2。

FAT 分区 (替代方法)

  1. 使用 DOS 可启动磁盘启动到 MS-DOS 提示符。

  2. 从以下位置重命名或移动损坏的 *.evt 文件: %SystemRoot%\System32\Config

  3. 删除磁盘并重新启动Windows。

重新启动Windows时,将重新创建事件日志文件。