Il logger di events non si avvia: errore 2 Il sistema non trova il file specificato, server Windows 2008R2

NOTA: questo è un "spawn" di un post precedente che ha affrontato 2 diversi problemi ed è diventato troppo lungo, quindi ho deciso di pulire la domanda originale e postare questo problema in una domanda separata

Quando cerco di avviare il registro events di Windows tramite net start eventlog o tramite il Services panel , viene visualizzato un errore:

 C:\Users\Administrator>net start eventlog The Windows Event Log service is starting. The Windows Event Log service could not be started. A system error has occurred. System error 2 has occurred. The system cannot find the file specified. 

Ho provato le seguenti consulenza da qui :

  1. ha riavviato il sistema operativo (virtuale sul VMWare dell'host).
  2. riesaminato le impostazioni nel menu dei servizi, sono come nel collegamento.
  3. ha verificato l'identity framework; in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eventlog – l'identity framework; è NT AUTHORITY\LocalService
  4. ha dato a tutti gli utenti autenticati l'accesso completo a C:\Windows\System32\winevt\Logs
  5. eseguito fc / scannow – Windows Resource Protection non ha trovato alcuna violazione di integrità.
  6. è andato al file %windir%\logs\cbs\cbs.log – tutto pulito, [SR] Riparazione di 0 componenti

EDIT: Disinstallato i recenti aggiornamenti del sistema e riavviato – non ha aiutato

EDIT: Sysinternals Process Monitor risultati quando si esegue il servizio di avvio dal pannello dei servizi (procmon in modalità elevata):

  1. filtri:

     process name is svchost.exe : include operation contains TCP : exclude 

    gli events catturati sono:

     21:50:33.8105780 svchost.exe 772 Thread Create SUCCESS Thread ID: 6088 21:50:33.8108848 svchost.exe 772 RegOpenKey HKLM SUCCESS Desired Access: Maximum Allowed, Granted Access: Read 21:50:33.8109134 svchost.exe 772 RegQueryKey HKLM SUCCESS Query: HandleTags, HandleTags: 0x0 21:50:33.8109302 svchost.exe 772 RegOpenKey HKLM\System\CurrentControlSet\Services REPARSE Desired Access: Read 21:50:33.8109497 svchost.exe 772 RegOpenKey HKLM\System\CurrentControlSet\Services SUCCESS Desired Access: Read 21:50:33.8110051 svchost.exe 772 RegCloseKey HKLM SUCCESS 21:50:33.8110423 svchost.exe 772 RegQueryKey HKLM\System\CurrentControlSet\services SUCCESS Query: HandleTags, HandleTags: 0x0 21:50:33.8110705 svchost.exe 772 RegOpenKey HKLM\System\CurrentControlSet\services\eventlog SUCCESS Desired Access: Read 21:50:33.8110923 svchost.exe 772 RegQueryKey HKLM\System\CurrentControlSet\services\eventlog SUCCESS Query: HandleTags, HandleTags: 0x0 21:50:33.8111257 svchost.exe 772 RegOpenKey HKLM\System\CurrentControlSet\services\eventlog\Parameters SUCCESS Desired Access: Read 21:50:33.8111547 svchost.exe 772 RegCloseKey HKLM\System\CurrentControlSet\services SUCCESS 21:50:33.8111752 svchost.exe 772 RegCloseKey HKLM\System\CurrentControlSet\services\eventlog SUCCESS 21:50:33.8111901 svchost.exe 772 RegQueryValue HKLM\System\CurrentControlSet\services\eventlog\Parameters\ServiceDll SUCCESS Type: REG_SZ, Length: 68, Data: %SystemRoot%\System32\wevtsvc.dll 21:50:33.8112148 svchost.exe 772 RegCloseKey HKLM\System\CurrentControlSet\services\eventlog\Parameters SUCCESS 21:50:33.8116552 svchost.exe 772 Thread Exit SUCCESS Thread ID: 6088, User Time: 0.0000000, Kernel Time: 0.0000000 

    NOTA: previoulsy, for

     21:46:31.6130476 svchost.exe 772 RegQueryValue HKLM\System\CurrentControlSet\services\eventlog\Parameters\ServiceDll SUCCESS Type: REG_SZ, Length: 68, Data: %SystemRoot%\System32\wevtsvc.dll 

    Ho anche ricevuto l'errore NAME NOT FOUND , quindi ho creato il nuovo valore di string per i Parameters con il nome ServiceDll e i dati %SystemRoot%\System32\wevtsvc.dll (copiato dal tasto HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog ) e questo evento è ora

     21:46:31.6130476 svchost.exe 772 RegQueryValue HKLM\System\CurrentControlSet\services\eventlog\Parameters\ServiceDll SUCCESS Type: REG_SZ, Length: 68, Data: %SystemRoot%\System32\wevtsvc.dll 

    Ho anche verificato la presenza di wevtsvc.dll nel posto ed è lì.

  2. Inoltre, ho cercato di catturare tutti gli events con il path contenente 'event' e ho ottenuto i seguenti events che sparano each pochi secondi:

     21:38:38.9185226 services.exe 492 RegQueryValue HKLM\System\CurrentControlSet\services\EventSystem\Tag NAME NOT FOUND Length: 16 21:38:38.9185513 services.exe 492 RegQueryValue HKLM\System\CurrentControlSet\services\EventSystem\DependOnGroup NAME NOT FOUND Length: 268 21:38:38.9185938 services.exe 492 RegQueryValue HKLM\System\CurrentControlSet\services\EventSystem\Group NAME NOT FOUND Length: 268 
  3. Inoltre, ho cercato di catturare tutti gli events che contengono 'file' , escludendo w3wp.exe, chrome.exe, wmiprvse.exe, wmtoolsd.exe, System e non mostra nessun tentativo di accedere a qualsiasi file ih durante il tentativo di avviare l'evento logger (se eseguito da cmd – ci sono diversi colpi da esecutivo net , non presente se eseguito dal pannello).

EDIT : la logging degli events ha smesso di lavorare il 04 / maggio / 2014 alle 03:15.

L'unica modifica di quel giorno era l' security update 2964444Security Update for Internet Explorer 11 for Windows Server 2008 R2for x64-based Systems , installato esattamente il 04 / maggio / 2014 alle 03:00. A quanto pare, è quello che ha rotto la mia macchina …

Cosa si può fare?

  • Imansible avviare `Secure Socket Tuning Protocol Service`
  • Come posso impostare un tipo di avvio del servizio per essere "Automatico (ritardato)" utilizzando GPO?
  • Esecuzione di un servizio Windows sotto un account utente di dominio
  • Dipendenze del servizio Windows
  • Service Experience Experience di Windows
  • Il servizio centrale di session Microsoft Dynamics GP non si avvia
  • Come creare un schedulatore di attività per riavviare un servizio software in Windows Server 2008 R2
  • Posso avviare un servizio Windows su un altro server dalla row di command?
  • One Solution collect form web for “Il logger di events non si avvia: errore 2 Il sistema non trova il file specificato, server Windows 2008R2”

    Quello che ha risolto il problema era quello di eliminare il problema

     HKLM\System\CurrentControlSet\services\eventlog\Parameters\ 

    chiave.

    Come ho detto in precedenza, ho visto questo errore con Process Monitor, ma ho scelto di mettere qualche chiave – e questo è stato il mio errore. Dovrei aver eliminato invece questa chiave.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.