O registrador de eventos não será iniciado: erro 2 O sistema não pode encontrar o arquivo especificado, servidor Windows 2008R2

Navegue suas respostas
4

OBSERVAÇÃO: este é um "spawn" de um post anterior que lidou com 2 questões diferentes e se tornou muito longo, então eu decidi limpar a questão original e postar esta questão em uma questão separada

Quando tento iniciar o log de eventos do Windows via net start eventlog ou Services panel , recebo um erro: 

C:\Users\Administrator>net start eventlog
The Windows Event Log service is starting.
The Windows Event Log service could not be started.

A system error has occurred.

System error 2 has occurred.

The system cannot find the file specified.

Eu tentei o os seguintes conselhos que eu aqui :

  1. reiniciou o sistema operacional (virtual no VMWare do host).
  2. verifiquei novamente as configurações no menu de serviços - elas são como no link.
  3. verificou a identidade em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eventlog - a identidade é NT AUTHORITY\LocalService
  4. concedeu a todos os usuários autenticados acesso total a C:\Windows\System32\winevt\Logs
  5. executou fc / scannow - a Proteção de Recursos do Windows não encontrou violações de integridade.
  6. foi para o arquivo %windir%\logs\cbs\cbs.log - all clean, [SR] Consertando 0 componentes

EDITAR: Desinstalado as atualizações recentes do sistema e reinicializado - não ajudou

EDITAR: Sysinternals Process Monitor executa os resultados do serviço de início do painel de serviços (procmon no modo elevado):

  1. filtros: 

    process name is svchost.exe : include
operation contains TCP : exclude

    os eventos capturados são: 

    21:50:33.8105780    svchost.exe 772 Thread Create       SUCCESS Thread ID: 6088
21:50:33.8108848    svchost.exe 772 RegOpenKey  HKLM    SUCCESS Desired Access: Maximum Allowed, Granted Access: Read
21:50:33.8109134    svchost.exe 772 RegQueryKey HKLM    SUCCESS Query: HandleTags, HandleTags: 0x0
21:50:33.8109302    svchost.exe 772 RegOpenKey  HKLM\System\CurrentControlSet\Services  REPARSE Desired Access: Read
21:50:33.8109497    svchost.exe 772 RegOpenKey  HKLM\System\CurrentControlSet\Services  SUCCESS Desired Access: Read
21:50:33.8110051    svchost.exe 772 RegCloseKey HKLM    SUCCESS 
21:50:33.8110423    svchost.exe 772 RegQueryKey HKLM\System\CurrentControlSet\services  SUCCESS Query: HandleTags, HandleTags: 0x0
21:50:33.8110705    svchost.exe 772 RegOpenKey  HKLM\System\CurrentControlSet\services\eventlog SUCCESS Desired Access: Read
21:50:33.8110923    svchost.exe 772 RegQueryKey HKLM\System\CurrentControlSet\services\eventlog SUCCESS Query: HandleTags, HandleTags: 0x0
21:50:33.8111257    svchost.exe 772 RegOpenKey  HKLM\System\CurrentControlSet\services\eventlog\Parameters  SUCCESS Desired Access: Read
21:50:33.8111547    svchost.exe 772 RegCloseKey HKLM\System\CurrentControlSet\services  SUCCESS 
21:50:33.8111752    svchost.exe 772 RegCloseKey HKLM\System\CurrentControlSet\services\eventlog SUCCESS 
21:50:33.8111901    svchost.exe 772 RegQueryValue   HKLM\System\CurrentControlSet\services\eventlog\Parameters\ServiceDll   SUCCESS Type: REG_SZ, Length: 68, Data: %SystemRoot%\System32\wevtsvc.dll
21:50:33.8112148    svchost.exe 772 RegCloseKey HKLM\System\CurrentControlSet\services\eventlog\Parameters  SUCCESS 
21:50:33.8116552    svchost.exe 772 Thread Exit     SUCCESS Thread ID: 6088, User Time: 0.0000000, Kernel Time: 0.0000000

    NOTA: previoulsy, para 

    21:46:31.6130476    svchost.exe 772 RegQueryValue   HKLM\System\CurrentControlSet\services\eventlog\Parameters\ServiceDll   SUCCESS Type: REG_SZ, Length: 68, Data: %SystemRoot%\System32\wevtsvc.dll

    Também recebi NAME NOT FOUND error, então criei o novo valor de string para o Parameters com o nome ServiceDll e data %SystemRoot%\System32\wevtsvc.dll (copiado da chave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog superior) e esse evento agora é 

    21:46:31.6130476    svchost.exe 772 RegQueryValue   HKLM\System\CurrentControlSet\services\eventlog\Parameters\ServiceDll   SUCCESS Type: REG_SZ, Length: 68, Data: %SystemRoot%\System32\wevtsvc.dll

    Também verifiquei a presença de wevtsvc.dll no local e está lá.

  2. Além disso, tentei capturar todos os eventos com o caminho contendo 'event' e recebi os seguintes eventos disparando a cada vários segundos: 

    21:38:38.9185226    services.exe    492 RegQueryValue   HKLM\System\CurrentControlSet\services\EventSystem\Tag  NAME NOT FOUND  Length: 16
21:38:38.9185513    services.exe    492 RegQueryValue   HKLM\System\CurrentControlSet\services\EventSystem\DependOnGroup    NAME NOT FOUND  Length: 268
21:38:38.9185938    services.exe    492 RegQueryValue   HKLM\System\CurrentControlSet\services\EventSystem\Group    NAME NOT FOUND  Length: 268

  3. Além disso, tentei capturar todos os eventos que contêm 'file' , excluindo w3wp.exe, chrome.exe, wmiprvse.exe, wmtoolsd.exe, System e mostra NÃO tentativas de acessar qualquer arquivo na hora em que tento iniciar o criador de logs de eventos (se executado a partir do cmd - existem vários resultados por net executável, não presentes se forem executados no painel).

EDIT : o registro de eventos parou de funcionar em 04 / maio / 2014 às 03:15.

A única alteração nesse dia foi security update 2964444 - Security Update for Internet Explorer 11 for Windows Server 2008 R2for x64-based Systems , que foi instalada exatamente em 04 / maio / 2014 às 03:00. Aparentemente, foi o que quebrou minha máquina ...

O que pode ser feito?

    
por alex440 20.05.2014 / 21:53

1 resposta

2

O que resolveu o problema foi excluir o 

HKLM\System\CurrentControlSet\services\eventlog\Parameters\
tecla

.

Como afirmei anteriormente, eu vi esse erro com o Process Monitor, mas optei por colocar lá alguma chave - e esse foi o meu erro. Eu deveria ter deletado essa chave.

    
por 21.05.2014 / 13:47

Tags

Alinhamento de partições no MegaRAID RAID 1 com drives de setor 4k (formato avançado) Obtendo IOPS dos processos no Linux