Журнал событий Windows не работает
обнаружил сегодня, что не работает просмотр событий (в Управлении компьютером пишет "служба журнала событий недоступна"). Зашел в Службы, "Журнал событий Windows" не работала, хотя тип запуска стоит Авто. Попытался запустить ее сам - выдала такую ошибку
"Не удалось запустить службу Журнал событий Windows на Локальный компьютер. Ошибка 4201: переданное имя копии не было распознано поставщиком данных WMI как допустимое имя." Подскажите, что это за ошибка и как все-таки запустить службу? Или где про это почитать можно |
Столкнулся с аналогичной ситуацией. Прошу помощи.
|
simsim
Судя по поиску, многие страдают от той же проблемы. Гугль Микрософт Вот перспективная тема. Предлагается проверить разрешения и владельца папки %windir%\System32\Logfiles. Там же описан второй способ (reset WMI). |
Petya V4sechkin
Владелец папки и все разрешения определены. Результат отрицательный. Уточнение - невозможно назначить (определить) владельца файла C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl |
simsim
Как я уже сказал, там и второй способ описан (reset WMI). |
Второй способ:
Код:
Try the following to reset your WMI: Не удалось восстановить базу данных WMI в исходное состояние. Код ошибки: 0х8007041В Оборудование: Win32 Описание: Команда остановки была отправлена службе, от которой зависят другие приложения. Какие должны быть дальнейшие действия? |
simsim
Странно. А команда "net stop winmgmt" нормально отрабатывает? Останавливает службу? |
Petya V4sechkin Команда отрабатывает нормально. Служба останавливается, удаётся переименовать папку Repository. После перезагрузки (пункт 5) папки Repository нет, но после пункта 8 она появляется.
|
simsim
А пункт 7 не пропустили? Когда второй раз надо останавливать службу? UAC отключен? P. S. Извините, что переспрашиваю, просто других идей у меня нет. |
Цитата:
Цитата:
|
simsim
Цитата:
Может, попробовать постепенно отключать некритичные службы (предварительно запомнив их состояние, чтобы потом восстановить)? Цитата:
|
Цитата:
Цитата:
Неужели у всех работает журнал событий? |
Просто в безопасном режиме переименуйте папку LogFiles в LogFiles.old
|
Vancouver
Цитата:
Petya V4sechkin Попробовал повторно перезагрузить WMI, предварительно отключив UAC. На этот раз база восстановилась нормально, но... по-прежнему журнал событий не запускается. Просмотрев состояние Журнала событий в службах обнаружил, что служба "остановлена" Попытка запуска даёт ошибку 4201. Обнаружено, что вход в систему этой службы настроен с учётной записью Local Service, а не с системной учётной записью. Изменить невозможно. Исполняемый файл C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted В параметрах запуска пусто. Где ещё что-то можно подправить? P.S.Отзовитесь у кого работает служба Журнал событий. |
У меня работает. Мне помогло переименование папки LogFiles.
Эта ошибка происходит когда Вы переназначаете права доступа к диску С: |
Vancouver Вотэтот единственный файл EtwRTDiagLog.etl и не даёт переименовать папку. "У вас нет прав доступа на изменение атрибутов этого файла" Всё что я могу видеть на вкладке безопасность.
|
Вариант:
Открыть Свойства папки C:\Windows\System32\LogFiles - открой закладку Безопасности, и нажми кнопку "Дополнительно" открой вкладку Владелец, а затем нажми кнопку Изменить на Администратора (или пользователя). Во вкладке"Изменить владельца" поставь галку "заменить владельца на subcontainers и объектов" и нажимай кнопку "Продолжить" на все сообщения об ошибке, закрой все открытые окна.Перезагрузись. |
VancouverВ том-то и дело, что владелец всех файлов в этой папке определён, за исключением вышеуказаного. Причём открывая вкладку безопасность любого файла, сразу открывается окно с перечнем групп и пользователей. А при открытии вкладки безопасность файла EtwRTDiagLog.etl сообщается "У вас нет разрешения на просмотр и изменение текущих разрешений для даного объекта. При нажатии "доолнительно" и попытке назначить владельца - "отказано в доступе". И в безопасном режиме аналогично.
|
Приведенный мною вариант, пременяется ко Всей Папке. Независимо от установленных разрешений для файлов находящихся внутри её.
И нажимай кнопку "Продолжить" на все сообщения об ошибке "У вас нет разрешения на просмотр и изменение текущих разрешений для даного объекта". |
simsim
Интересно было бы посмотреть от имени SYSTEM разрешения (т. е. запустить какой-нибудь файловый менеджер от имени SYSTEM). Это можно сделать с помощью планировщика заданий, например: Код:
at 12:17 /interactive C:\Totalcmd\Totalcmd.exe |
Цитата:
Поэкспериментирую и отпишусь. |
simsim
Цитата:
|
Хмм..Есть еще вариант, это использовать The WMI Diagnosis Utility -- Version 2.0
The WMI Diagnosis Utility |
Vancouver Если Вы внимательно читали тему, должны были заметить, что то, что предлагается Вами в посте #22 уже предлагалось и использовалось.
Вопрос: что даст The WMI Diagnosis Utility? |
Запустил The WMI Diagnosis Utility. Спустя некоторое время получил результат тестирования в-виде длиннющего log-файла с кучей ошибок WMI. Сижу разбираюсь что к чему.
|
simsim
Цитата:
Еще вопрос - вы файл подкачки не отключали, случайно? Не знаю, как в Висте, а в XP отключение файла подкачки приводит к специфическим проблемам с WMI. Каковы результаты эксперимента с запуском файлового менеджера от имени SYSTEM? Удалось увидеть разрешения EtwRTDiagLog.etl? |
Petya V4sechkin
Цитата:
Файл подкачки не отключал. Цитата:
|
simsim
Цитата:
Или на какой-нибудь rapidshare.com / rapidshare.ru Цитата:
Код:
PsExec -i -d -s C:\Totalcmd\Totalcmd.exe |
Petya V4sechkin
Цитата:
|
Вложений: 1
Petya V4sechkin Запустил PsExec -i -d -s d:\Far\far.exe
Получил результат: d:\Far\far.exe started at SIMSIM-M with process ID 1560 Прикрепил отчёт wmi |
Да... За пять суток один просмотр прикреплённого отчёта... Как я понимаю, поможет переустановка ОС. Может-быть...
|
simsim
форум не отдает аттач нормально, просто стопорится... выложи куда-то плиз. |
Выложил результаты диагностики сюда http://slil.ru/24523586
Помогите кто может добрым словом. Ибо Виста на грани переинсталяции... |
Произвёл полную переустановку ОС. Проблема осталась. К сожалению...
|
Проблема решена! Как обычно, примерно раз в неделю устанавливаю обновления. Вот, после сегодняшнего обновления всё заработало. Вот такая петрушка... :dont-know
|
simsim
Цитата:
|
Были установлены следующие обновления
КВ939720 КВ939677 КВ939004 КВ938956 Но по описаниям этих обновлений, я не нахожу причин, почему заработал журнал событий. А он заработал. |
Имею ту же проблему. Все обновления стоят.
|
Еще один вариант предлагается здесь (запуск subinacl и secedit для установки дефолтных прав на ветки реестра и системный диск). Конечно, запускать эти операции надо от имени Администратора (встроенной учетной записи).
|
Petya V4sechkin а по подробнее можно? Скачал всё что нужно, создал cmd, но далее не понял...
Можно инструкцию на родном и любимом языке... у меня посыпалось на ошибках |
Как сделать, чтобы при возникновении ЛЮБОЙ ошибки появлялось всплывающее окно с кодом и описанием ошибки?
|
Апну тему.
Столкнулся с такой же проблемой, только на Windows 10 - про попытке просмотреть логи валится ошибка "Служба событий недоступна. Убедитесь, что служба запущена." При попытке запуска службы "Журнал событий Windows" ошибка "Не удалось запустить службу Журнал событий Windows на Локальный компьютер. Ошибка 4201: переданное имя копии не было распознано поставщиком данных WMI как допустимое имя.". Что делалось (по разным форумам): У учетной записи СИСТЕМА полные права на каталог C:\Windows\System32\LogFiles\WMI\RtBackup Переименование каталога C:\Windows\System32\LogFiles\ и его автоматическое пересоздание ничего не дало. В итоге проблему решил изменением следующих ключей реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\AutoLogger\ \EventLog-Application\LogFileMode - сменил значение на 11000180 (Hex) \EventLog-Security\LogFileMode - сменил значение на 100001c0 (Hex) \EventLog-System\LogFileMode - сменил значение на 10000180 (Hex) Перезагрузка, не помогло \EventLog-Application\Start - сменил значение на 1 \EventLog-Security\Start - сменил значение на 1 \EventLog-System\Start - сменил значение на 1 После перезагрузки все заработало. Предположу, что хватило бы последних трех ключей, но откатывать и проверять нет никакого желания. |
Время: 14:18. |
Время: 14:18.
© OSzone.net 2001-