Um identificador inválido significa que um processo tentou abrir um arquivo e falhou. Nesse caso, o arquivo provavelmente era o arquivo de log de eventos de segurança %SystemRoot%\System32\Winevt\Logs\Security.evtx
. Você precisa começar a investigar por que esse arquivo não pôde ser aberto.
Comece criando um novo arquivo .evtx
e verificando as configurações de Sobrescrever Log de Eventos. Assegure-se de que outro processo (local ou remoto) não esteja retido nele enquanto ele raspa os eventos. Certifique-se de ter espaço suficiente no disco rígido para que haja espaço para gravar no arquivo. Verifique se há falhas de hardware subjacentes e se há corrupção do sistema de arquivos.
Se isso não resultar em algo que pareça uma possível causa, você precisará coletar mais informações. O ProcMon do SysInteral pode ser útil aqui se você anexar o processo EventLog (veja meu responda aqui para um exemplo de como fazer isso. Se você ainda não encontrar algo que pareça óbvio, sua melhor opção seria ir ao Suporte da Microsoft.