Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows Vista (http://forum.oszone.net/forumdisplay.php?f=66)
-   -   Журнал событий Windows не работает (http://forum.oszone.net/showthread.php?t=80078)

starx 26-02-2007 20:50 555639

Журнал событий Windows не работает
 
обнаружил сегодня, что не работает просмотр событий (в Управлении компьютером пишет "служба журнала событий недоступна"). Зашел в Службы, "Журнал событий Windows" не работала, хотя тип запуска стоит Авто. Попытался запустить ее сам - выдала такую ошибку
"Не удалось запустить службу Журнал событий Windows на Локальный компьютер. Ошибка 4201: переданное имя копии не было распознано поставщиком данных WMI как допустимое имя."
Подскажите, что это за ошибка и как все-таки запустить службу? Или где про это почитать можно

SimSim 03-06-2007 13:40 594497

Столкнулся с аналогичной ситуацией. Прошу помощи.

Petya V4sechkin 03-06-2007 19:10 594589

simsim
Судя по поиску, многие страдают от той же проблемы.
Гугль
Микрософт

Вот перспективная тема.
Предлагается проверить разрешения и владельца папки %windir%\System32\Logfiles.
Там же описан второй способ (reset WMI).

SimSim 03-06-2007 22:53 594670

Petya V4sechkin
Владелец папки и все разрешения определены. Результат отрицательный.

Уточнение - невозможно назначить (определить) владельца файла C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl

Petya V4sechkin 04-06-2007 00:13 594681

simsim
Как я уже сказал, там и второй способ описан (reset WMI).

SimSim 04-06-2007 00:56 594685

Второй способ:
Код:

Try the following to reset your WMI:

This is a little different, and should only be tried if nothing else works.

  1. Start the computer in Safe Mode without networking.
  2. Open a command prompt as administrator
  3. Type "net stop winmgmt" without quotes and press enter to make certain the wmi service is not running.
  4. Go to the windows\system32\WBEM\ and rename the Repository folder.
  5. Restart the system to normal mode.
  6. Open a command prompt as administrator.
  7. Type "net stop winmgmt" without quotes and press enter to stop the wmi service.
  8. Type winmgmt /resetRepository and restart the system.
  9. Test the event viewer.

При исполнении восьмого пункта получаю следующее:

Не удалось восстановить базу данных WMI в исходное состояние.
Код ошибки: 0х8007041В
Оборудование: Win32
Описание: Команда остановки была отправлена службе, от которой зависят другие приложения.


Какие должны быть дальнейшие действия?


Petya V4sechkin 04-06-2007 14:20 594879

simsim
Странно. А команда "net stop winmgmt" нормально отрабатывает? Останавливает службу?

SimSim 04-06-2007 18:35 594996

Petya V4sechkin Команда отрабатывает нормально. Служба останавливается, удаётся переименовать папку Repository. После перезагрузки (пункт 5) папки Repository нет, но после пункта 8 она появляется.

Petya V4sechkin 04-06-2007 19:18 595019

simsim
А пункт 7 не пропустили? Когда второй раз надо останавливать службу?
UAC отключен?

P. S. Извините, что переспрашиваю, просто других идей у меня нет.

SimSim 04-06-2007 23:07 595113

Цитата:

А пункт 7 не пропустили? Когда второй раз надо останавливать службу?
Не пропускал.
Цитата:

UAC отключен?
Нет.

Petya V4sechkin 05-06-2007 17:31 595478

simsim
Цитата:

Команда остановки была отправлена службе, от которой зависят другие
Вот интересно, какую тогда службу оно пытается остановить (при том, что winmgmt мы уже тормознули). Очень досадно, что нельзя посмотреть это в журнале событий ;)
Может, попробовать постепенно отключать некритичные службы (предварительно запомнив их состояние, чтобы потом восстановить)?


Цитата:

невозможно назначить (определить) владельца файла C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl
Может, проделать все операции по изменению владельца и разрешений на папку System32\LogFiles (и все вложенные объекты) в безопасном режиме, отключив службу winmgmt?

SimSim 05-06-2007 18:58 595542

Цитата:

Очень досадно, что нельзя посмотреть это в журнале событий
Вот именно. Иногда оччччень хочется узнать чем это Виста занимается во-время притормаживания.
Цитата:

Может, проделать все операции по изменению владельца и разрешений на папку System32\LogFiles (и все вложенные объекты) в безопасном режиме, отключив службу winmgmt?
Пробовал. Ничего не получатся. Активировал и встроенного администратора. Результат отрицательный.
Неужели у всех работает журнал событий?

Vancouver 05-06-2007 20:57 595635

Просто в безопасном режиме переименуйте папку LogFiles в LogFiles.old

SimSim 06-06-2007 19:18 596084

Vancouver
Цитата:

Просто в безопасном режиме переименуйте папку LogFiles в LogFiles.old
Результат - нет доступа к файлу C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl, в чём я и так был уверен. Перепроверка не помешала.

Petya V4sechkin Попробовал повторно перезагрузить WMI, предварительно отключив UAC. На этот раз база восстановилась нормально, но... по-прежнему журнал событий не запускается.
Просмотрев состояние Журнала событий в службах обнаружил, что служба "остановлена" Попытка запуска даёт ошибку 4201.
Обнаружено, что вход в систему этой службы настроен с учётной записью Local Service, а не с системной учётной записью. Изменить невозможно.
Исполняемый файл C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
В параметрах запуска пусто.
Где ещё что-то можно подправить?

P.S.Отзовитесь у кого работает служба Журнал событий.

Vancouver 06-06-2007 21:42 596128

У меня работает. Мне помогло переименование папки LogFiles.
Эта ошибка происходит когда Вы переназначаете права доступа к диску С:

SimSim 06-06-2007 21:56 596132

Vancouver Вотэтот единственный файл EtwRTDiagLog.etl и не даёт переименовать папку. "У вас нет прав доступа на изменение атрибутов этого файла" Всё что я могу видеть на вкладке безопасность.

Vancouver 06-06-2007 22:18 596144

Вариант:
Открыть Свойства папки C:\Windows\System32\LogFiles - открой закладку Безопасности, и нажми кнопку "Дополнительно" открой вкладку Владелец, а затем нажми кнопку Изменить на Администратора (или пользователя). Во вкладке"Изменить владельца" поставь галку "заменить владельца на subcontainers и объектов" и нажимай кнопку "Продолжить" на все сообщения об ошибке, закрой все открытые окна.Перезагрузись.

SimSim 07-06-2007 01:12 596200

VancouverВ том-то и дело, что владелец всех файлов в этой папке определён, за исключением вышеуказаного. Причём открывая вкладку безопасность любого файла, сразу открывается окно с перечнем групп и пользователей. А при открытии вкладки безопасность файла EtwRTDiagLog.etl сообщается "У вас нет разрешения на просмотр и изменение текущих разрешений для даного объекта. При нажатии "доолнительно" и попытке назначить владельца - "отказано в доступе". И в безопасном режиме аналогично.

Vancouver 07-06-2007 05:24 596228

Приведенный мною вариант, пременяется ко Всей Папке. Независимо от установленных разрешений для файлов находящихся внутри её.
И нажимай кнопку "Продолжить" на все сообщения об ошибке "У вас нет разрешения на просмотр и изменение текущих разрешений для даного объекта".

Petya V4sechkin 07-06-2007 12:16 596331

simsim
Интересно было бы посмотреть от имени SYSTEM разрешения (т. е. запустить какой-нибудь файловый менеджер от имени SYSTEM).
Это можно сделать с помощью планировщика заданий, например:
Код:

at 12:17 /interactive C:\Totalcmd\Totalcmd.exe
Но терзают смутные сомнения, что планировщик заданий тоже не работает (как раз из-за журнала событий). Тогда можно зарегистрировать службу. Например, с помощью Instrsrv.exe + Srvany.exe или оболочки Any Service (не знаю, сработает ли оно на Висте, но почему бы и нет). А, еще PsExec есть.

SimSim 09-06-2007 23:20 597553

Цитата:

Но терзают смутные сомнения, что планировщик заданий тоже не работает (как раз из-за журнала событий)
Точно, не работает.

Поэкспериментирую и отпишусь.

Vancouver 10-06-2007 09:53 597621

simsim
Цитата:

1. Restart the computer into Safe Mode without networking. (Press F8 while rebooting)
2. In Safe Mode, open Start Menu.
3. In white line (Start Search) area type cmd.
4. Right click cmd (at top) and click Run as administrator.
5. In command prompt, type net stop winmgmt and press Enter. (To make certain the wmi service is not running.)
6. Wait until successful message appears. Close command prompt.
7. Go to this location: C:\Windows\System32\wbem
8. Right click on Repository folder and click [/b]Rename.
9. Name it RepositoryOld and press Enter.
10. Restart the computer to Normal Mode. (Must be done within your account)
11. When done starting up, open Start Menu.
12. In white line (Start Search) area type cmd.
13. Right click cmd (at top) and click Run as administrator.
14. In command prompt, type net stop winmgmt and press Enter. (To stop the wmi service.)
15. Wait until successful message appears and then type winmgmt /resetRepository and press Enter.
16. Wait until successful message appears and then Restart computer. (Normal Mode)
17. Test the Event Viewer. It should be working now.
18. If its working again, then go back and delete the RepositoryOld folder

Vancouver 10-06-2007 10:13 597624

Хмм..Есть еще вариант, это использовать The WMI Diagnosis Utility -- Version 2.0
The WMI Diagnosis Utility

SimSim 10-06-2007 12:02 597648

Vancouver Если Вы внимательно читали тему, должны были заметить, что то, что предлагается Вами в посте #22 уже предлагалось и использовалось.

Вопрос: что даст The WMI Diagnosis Utility?

SimSim 11-06-2007 11:43 597917

Запустил The WMI Diagnosis Utility. Спустя некоторое время получил результат тестирования в-виде длиннющего log-файла с кучей ошибок WMI. Сижу разбираюсь что к чему.

Petya V4sechkin 11-06-2007 12:50 597939

simsim
Цитата:

Спустя некоторое время получил результат тестирования в-виде длиннющего log-файла с кучей ошибок WMI
Может, выложите?

Еще вопрос - вы файл подкачки не отключали, случайно? Не знаю, как в Висте, а в XP отключение файла подкачки приводит к специфическим проблемам с WMI.

Каковы результаты эксперимента с запуском файлового менеджера от имени SYSTEM? Удалось увидеть разрешения EtwRTDiagLog.etl?

SimSim 11-06-2007 13:02 597944

Petya V4sechkin
Цитата:

Может, выложите?
Так он-же гад длиннющий! А архив не знаю как прицепить.

Файл подкачки не отключал.
Цитата:

Каковы результаты эксперимента с запуском файлового менеджера от имени SYSTEM? Удалось увидеть разрешения EtwRTDiagLog.etl?
До этого руки ещё не дошли.

Petya V4sechkin 11-06-2007 13:08 597947

simsim
Цитата:

А архив не знаю как прицепить.
При редактировании поста есть кнопка "Прикрепить файл".
Или на какой-нибудь rapidshare.com / rapidshare.ru

Цитата:

До этого руки ещё не дошли.
Легче всего так:
Код:

PsExec -i -d -s C:\Totalcmd\Totalcmd.exe

SimSim 11-06-2007 13:27 597953

Petya V4sechkin
Цитата:

При редактировании поста есть кнопка "Прикрепить файл".
А я искал при создании сообщения. Спасибо за совет, вечером выложу (сейчас нет под руками) Сответственно отпишусь о результатах запуска от имени SYSTEM.

SimSim 11-06-2007 22:01 598140

Вложений: 1
Petya V4sechkin Запустил PsExec -i -d -s d:\Far\far.exe
Получил результат: d:\Far\far.exe started at SIMSIM-M with process ID 1560
Прикрепил отчёт wmi

SimSim 16-06-2007 00:55 599865

Да... За пять суток один просмотр прикреплённого отчёта... Как я понимаю, поможет переустановка ОС. Может-быть...

Blast 16-06-2007 08:19 599913

simsim
форум не отдает аттач нормально, просто стопорится... выложи куда-то плиз.

SimSim 16-06-2007 23:01 600168

Выложил результаты диагностики сюда http://slil.ru/24523586
Помогите кто может добрым словом. Ибо Виста на грани переинсталяции...

SimSim 22-06-2007 14:45 602727

Произвёл полную переустановку ОС. Проблема осталась. К сожалению...

SimSim 21-07-2007 23:43 616956

Проблема решена! Как обычно, примерно раз в неделю устанавливаю обновления. Вот, после сегодняшнего обновления всё заработало. Вот такая петрушка... :dont-know

Vancouver 22-07-2007 09:38 617047

simsim
Цитата:

Вот, после сегодняшнего обновления всё заработало. Вот такая петрушка..
Номерок обновления в студию плизз...

SimSim 22-07-2007 13:17 617091

Были установлены следующие обновления
КВ939720
КВ939677
КВ939004
КВ938956
Но по описаниям этих обновлений, я не нахожу причин, почему заработал журнал событий. А он заработал.

Silver_Johnes 22-08-2007 16:47 631453

Имею ту же проблему. Все обновления стоят.

Petya V4sechkin 02-11-2007 16:45 671603

Еще один вариант предлагается здесь (запуск subinacl и secedit для установки дефолтных прав на ветки реестра и системный диск). Конечно, запускать эти операции надо от имени Администратора (встроенной учетной записи).

Liten 23-07-2010 22:50 1459490

Petya V4sechkin а по подробнее можно? Скачал всё что нужно, создал cmd, но далее не понял...
Можно инструкцию на родном и любимом языке...

у меня посыпалось на ошибках

читать дальше »
C:\Users\Администратор>"C:\Program Files\Windows Resource Kits\Tools\s.cmd"

Resetting ACLs...
(this may take several minutes to complete)

==========================================================================


LookupAccountName : HKEY_LOCAL_MACHINE:administrators 1337 Идентификатор безопас
ности имеет неверную структуру.

Current object HKEY_LOCAL_MACHINE will not be processed


Elapsed Time: 00 00:00:00
Done: 0, Modified 0, Failed 0, Syntax errors 1
Last Syntax Error:WARNING : /grant=administrators=f : Error when checking argume
nts - HKEY_LOCAL_MACHINE


LookupAccountName : HKEY_CURRENT_USER:administrators 1337 Идентификатор безопасн
ости имеет неверную структуру.

Current object HKEY_CURRENT_USER will not be processed


Elapsed Time: 00 00:00:00
Done: 0, Modified 0, Failed 0, Syntax errors 1
Last Syntax Error:WARNING : /grant=administrators=f : Error when checking argume
nts - HKEY_CURRENT_USER


LookupAccountName : HKEY_CLASSES_ROOT:administrators 1337 Идентификатор безопасн
ости имеет неверную структуру.

Current object HKEY_CLASSES_ROOT will not be processed


Elapsed Time: 00 00:00:00
Done: 0, Modified 0, Failed 0, Syntax errors 1
Last Syntax Error:WARNING : /grant=administrators=f : Error when checking argume
nts - HKEY_CLASSES_ROOT


System Drive...
LookupAccountName : C:\Program Files\Windows Resource Kits\Tools:administrators
1337 Идентификатор безопасности имеет неверную структуру.

Current object C:\Program Files\Windows Resource Kits\Tools will not be processe
d


Cutieboy 09-12-2014 12:13 2441701

Как сделать, чтобы при возникновении ЛЮБОЙ ошибки появлялось всплывающее окно с кодом и описанием ошибки?

Michael 09-11-2022 16:44 2996038

Апну тему.
Столкнулся с такой же проблемой, только на Windows 10 - про попытке просмотреть логи валится ошибка "Служба событий недоступна. Убедитесь, что служба запущена." При попытке запуска службы "Журнал событий Windows" ошибка "Не удалось запустить службу Журнал событий Windows на Локальный компьютер. Ошибка 4201: переданное имя копии не было распознано поставщиком данных WMI как допустимое имя.".

Что делалось (по разным форумам):
У учетной записи СИСТЕМА полные права на каталог C:\Windows\System32\LogFiles\WMI\RtBackup
Переименование каталога C:\Windows\System32\LogFiles\ и его автоматическое пересоздание ничего не дало.

В итоге проблему решил изменением следующих ключей реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\AutoLogger\
\EventLog-Application\LogFileMode - сменил значение на 11000180 (Hex)
\EventLog-Security\LogFileMode - сменил значение на 100001c0 (Hex)
\EventLog-System\LogFileMode - сменил значение на 10000180 (Hex)
Перезагрузка, не помогло
\EventLog-Application\Start - сменил значение на 1
\EventLog-Security\Start - сменил значение на 1
\EventLog-System\Start - сменил значение на 1
После перезагрузки все заработало.
Предположу, что хватило бы последних трех ключей, но откатывать и проверять нет никакого желания.


Время: 10:13.

Время: 10:13.
© OSzone.net 2001-