Журнал событий Windows, что это за служба
Обновлено: 21.11.2024
Эта служба управляет событиями и журналами событий. Он поддерживает регистрацию событий, запросы событий, подписку на события, архивирование журналов событий и управление метаданными событий. Он может отображать события как в XML, так и в текстовом формате. Остановка этой службы может поставить под угрозу безопасность и надежность системы.
Эта служба также существует в Windows 7, 8, Vista и XP.
Тип запуска
| Версия Windows 10 | Домашняя | Pro< /th> | Образование | Предприятие |
|---|---|---|---|---|
| 1507 | Автоматически | Автоматически | Автоматически | Автоматически |
| 1511 | Автоматически | Автоматически | Автоматически | Автоматически |
| 1607 | Автоматически | Автоматически | Автоматически | td>Автоматически |
| 1703 | Автоматически | Автоматически | Автоматически | < td>Автоматически|
| 1709 | Автоматически | Автоматически | Автоматически | Автоматически |
| 1803 | Автоматически | Автоматически | Автоматически | Автоматически |
| 1809 | Автоматически | Автоматически | Автоматически | Автоматически |
| 1903 | Автоматически | Автоматически | Автоматически | Автоматически | 1909 | Авто matic | Автоматически | Автоматически | Автоматически |
| 2004 | Автоматически | td>Автоматический | Автоматический | Автоматический |
| 20H2 | Автоматический | < td>АвтоматическиАвтоматически | Автоматически | |
| 21H1 | Автоматически | Автоматически | Автоматически | Автоматически |
| 21H2 | Автоматически | Автоматически | Автоматически | Автоматически |
Свойства по умолчанию
Поведение по умолчанию
Служба журнала событий Windows работает как NT AUTHORITY\LocalService в общем процессе svchost.exe. Другие службы могут работать в том же процессе. Если журнал событий Windows не запускается, ошибка регистрируется. Запуск Windows 10 продолжается, но отображается окно с сообщением о том, что не удалось запустить службу EventLog.
Зависимости
Если журнал событий Windows остановлен, следующие службы не запустятся:
Восстановить тип запуска по умолчанию для журнала событий Windows
Автоматическое восстановление
<р>1. Выберите выпуск и выпуск Windows 10, а затем нажмите кнопку «Загрузить» ниже. <р>2. Сохраните файл RestoreWindowsEventLogWindows10.bat в любую папку на жестком диске. <р>3. Щелкните правой кнопкой мыши загруженный пакетный файл и выберите «Запуск от имени администратора». <р>4. Перезагрузите компьютер, чтобы сохранить изменения.Примечание. Убедитесь, что файл wevtsvc.dll существует в папке %WinDir%\System32. Если этот файл отсутствует, вы можете попытаться восстановить его с установочного носителя Windows 10.
Да, если я пойду долиною смертной тени, не убоюсь зла, ибо Ты со мною; твой жезл и твой посох утешают меня.
Служба EventLog управляет журналами событий — репозиториями событий, созданных службами, запланированными задачами и приложениями, тесно взаимодействующими с операционной системой Windows.
Отображаемое имя службы — «Журнал событий Windows», и она запускается внутри хост-процесса службы, svchost.exe. По умолчанию служба настроена на автоматический запуск при загрузке компьютера:
Вы можете использовать средство просмотра событий Windows для просмотра журналов событий, управляемых службой. Например, вот некоторые записи из журнала событий безопасности Windows:
Что произойдет, если я остановлю EventLog?
Вы можете обнаружить, что остановить службу журнала событий Windows практически невозможно.
Это связано с тем, что служба поддерживает несколько важных системных служб. Вы можете увидеть этот список на вкладке «Зависимости» службы:
И из-за этих отношений зависимости попытка остановить EventLog запускает «каскад», который приводит к остановке всех зависимых служб. Здесь вы можете увидеть, как Windows предупреждает нас об этой ситуации:
Но после того, как мы нажали «Да», Windows не удалось остановить EventLog и зависимые службы!Возвращена странная ошибка:
Мы отследили проблему до «Службы сетевых списков» (netprofm). Эта служба отказывалась от каждой попытки остановить ее, постоянно терпя неудачу с ошибкой, указанной выше. И поскольку мы не могли остановить «Службу сетевого списка», мы также не могли остановить EventLog.
Можно ли отключить службу журнала событий Windows?
Нет — отключать службу журнала событий Windows небезопасно.
Действительно, в самом описании сервиса Microsoft предупреждает:
Остановка этой службы может поставить под угрозу безопасность и надежность системы.
Этот совет имеет смысл, поскольку EventLog обеспечивает необходимую поддержку служб Windows, запланированных задач и других фоновых программ. Эти компоненты обычно работают без пользовательского интерфейса и полагаются на журналы событий для записи важных событий.
Если служба EventLog остановится, эти фоновые компоненты не смогут вести хронику своей деятельности. В низкоуровневых записях операционной системы будет зловещая брешь.
Имея это в виду, легко понять, почему служба EventLog является заманчивой мишенью для злоумышленников, стремящихся скомпрометировать систему. После того, как служба будет повреждена, жизненно важные записи судебной экспертизы могут быть не захвачены, а злоумышленники могут действовать безнаказанно.
Вопросы? Проблемы?
Если вы хотите узнать больше о службе журнала событий Windows или у вас возникла конкретная проблема, свяжитесь с нами. Мы сделаем все возможное, чтобы помочь вам!
Организациям требуются системы виртуализации, которые не только поддерживают различные типы приложений, но и упрощают ИТ-инфраструктуру.
Виртуализация приносит экономию средств и экономит время ИТ-специалистам, которые курируют роботов-роботов. Для эффективной реализации требуется облачная среда.
Администраторы часто сравнивают Xen и KVM как варианты с открытым исходным кодом. Основными факторами, которые следует учитывать при выборе основного гипервизора, являются организационные факторы.
Чтобы добиться высокой доступности и отказоустойчивости в AWS, ИТ-администраторы должны сначала понять различия между двумя моделями.
Amazon ECS и EKS похожи, но их различий достаточно, чтобы выделить их для пользователей AWS. Узнайте, что лучше всего подходит для вашего .
Новые дополнения к системам хранения, такие как гибкие блочные тома и высокая доступность для ZFS, делают облачную платформу Oracle более конкурентоспособной.
Хороший дизайн базы данных необходим для удовлетворения потребностей обработки в системах SQL Server. На вебинаре консультант Коэн Вербек предложил .
Базы данных SQL Server можно переместить в облако Azure несколькими способами. Вот что вы получите от каждого из вариантов .
В отрывке из этой книги вы познакомитесь с методами LEFT OUTER JOIN и RIGHT OUTER JOIN и найдете различные примеры создания SQL.
ИТ-администраторам, рассматривающим возможность перехода на Windows 11, следует узнать, как функции версии Enterprise могут помочь их .
Последняя сборка для разработчиков Windows 11 позволяет открывать несколько папок в приложении для управления файлами. Предполагается, что эта функция .
Администраторам настольных компьютеров следует обратить внимание на собственные функции безопасности и архитектуру Windows 10, чтобы установить базовый уровень настольных компьютеров.
Перенаправление папок может поддерживать среду виртуального рабочего стола с перемещаемыми профилями, предоставляя пользователям единообразие при .
Люди, использующие виртуальный рабочий стол VMware на смартфонах и планшетах Samsung, могут получить доступ к Windows как на устройстве, так и на .
Организациям с виртуальными рабочими столами следует планировать свою стратегию управления профилями, и одним из ключевых компонентов является профиль .
"Служба журнала событий недоступна" — известная ошибка Windows. Я неоднократно сталкивался с этой проблемой при долгом использовании Windows. В большинстве случаев причиной являются либо испорченные права доступа к файлам, либо невозможность перезапуска службы событий журнала Windows. Вот как это можно быстро исправить.
Служба журнала событий недоступна
Что такое служба журнала событий?
Служба журнала событий, как следует из названия, представляет собой встроенную сервисную программу Windows. Расположение программы журнала событий: C:\Windows\System32\svchost.exe. По сути, он регистрирует всю информацию, а также сообщения об ошибках в текстовом файле. Большинство внутренних системных заданий Windows зависят от службы журнала событий Windows. Несколько приложений Windows, таких как «Расписание задач», «Календарь» или «Почта», не будут работать должным образом без этой службы. Следовательно, важно убедиться, что служба журнала событий Windows запущена и работает.
После этого, прежде чем мы приступим к устранению неполадок, я бы порекомендовал вам сначала попробовать старый добрый перезапуск.Если это не сработает, мы можем продолжить с помощью следующих методов.
1. Запустить службу журналов Windows
Прежде всего, мы можем попытаться запустить службу журнала событий Windows вручную. Для этого перейдите в меню «Выполнить», нажав Win+R, введите services.msc и нажмите Enter.
В меню "Службы" перейдите к службе журнала событий Windows.
Щелкните правой кнопкой мыши службу журнала событий Windows и выберите Пуск. Если служба уже запущена, нажмите «Перезапустить». Вам также может быть предложено ввести пароль администратора, введите его соответственно.
После успешного запуска службы журнала событий Windows ошибка должна быть устранена. Кроме того, убедитесь, что для параметра «Тип запуска» службы установлено значение «Автоматически». Если он указан вручную или пуст, вы можете изменить его в свойствах.
2. Изменить значение
Если вам не удается запустить службу журнала событий Windows, возможны проблемы с владельцем службы журнала событий Windows. Чтобы это исправить, нам нужно сначала проверить и убедиться, что владелец программы журнала Windows верен. Это нужно сделать через редактор реестра.
Чтобы открыть редактор реестра, нажмите Win+R для доступа к меню "Выполнить", введите regedit и нажмите Enter.
В меню редактора реестра скопируйте и вставьте следующий URL-адрес.
В папке журнала событий вы найдете ключ под названием «Имя объекта». Убедитесь, что значение ключа — NL AUTHORITY\LocalService. Если значение пустое или отличается, дважды щелкните его, чтобы изменить значение.
Во всплывающем окне измените значение данных на NL Authority\LocalService. После этого нажмите кнопку ОК.
Теперь вы можете попробовать перезапустить службу журнала событий Windows из меню служб. Если вы все еще сталкиваетесь с проблемами, перейдите к следующему шагу.
3. Проверить разрешения
Еще одна причина сбоя запуска службы журнала событий Windows – неправильные разрешения для каталога журнала. Чтобы это исправить, перейдите в проводник Windows и скопируйте и вставьте следующий URL-адрес.
Щелкните правой кнопкой мыши папку «Журналы» и выберите «Свойства».
В меню "Свойства" перейдите на вкладку "Безопасность".
На вкладке «Безопасность» нажмите профиль «СИСТЕМА» и убедитесь, что у него есть все разрешения на вкладке «Разрешения». После профиля SYSTEM проверьте администраторов и профиль EventLog.
Если для учетной записи не предоставлены полные разрешения, нажмите кнопку «Изменить» и предоставьте необходимые разрешения. Вы по-прежнему сталкиваетесь с ошибкой «Служба журнала событий недоступна» на компьютере с Windows?
4. Проверить сохранение журнала
Если описанные выше методы не помогли решить проблему, могут возникнуть проблемы с заполнением файлов журнала. Мы можем проверить состояние файлов журнала с помощью собственного приложения Windows Event Viewer.
Перейдите в меню "Пуск" и введите "Просмотр событий". Когда появятся результаты, нажмите «Запуск от имени администратора».
В окне просмотра событий щелкните Журналы Windows. В Windows вы найдете журналы событий Application, Security, Setup, System и Forwarded. Нужно проверять каждое событие в отдельности. Но сначала давайте проверим журналы приложений.
С правой стороны вы увидите параметр под названием «Свойства». Нажмите на него, чтобы открыть свойства журналов приложений.
Убедитесь, что во всплывающем окне «Свойства журнала» установлен флажок «Перезаписывать события по мере необходимости». Это гарантирует, что при заполнении файлов журнала они будут перезаписаны. Затем нажмите кнопку ОК.
Как и в свойствах приложения, нам нужно проверить остальные 4 журнала на наличие той же опции. После этого перезагрузите систему Windows. Затем попробуйте перезапустить службу журнала событий Windows. Он должен начать работать нормально.
5. Очистить старые журналы
Даже после предоставления разрешений и полномочий, если служба событий журнала Windows не запускается, мы можем выполнить общую очистку папки RtBackup. Папка RtBackup содержит журналы событий приложений, ядер и системных проблем в реальном времени. Иногда старые журналы могут привести к тому, что служба журнала событий Windows перестанет работать.
Однако очистить эту папку непросто. Вам также придется загрузиться в безопасном режиме и изменить пару разрешений. Самый простой способ загрузиться в безопасном режиме — через конфигурацию Windows. Нажмите Win+R, чтобы вызвать меню «Выполнить», введите msconfig и нажмите Enter.
Перейдите на вкладку «Загрузка» и установите флажок «Безопасная загрузка». Затем нажмите кнопку ОК.
После этого вы можете перезагрузить систему.
Теперь Windows должна загрузиться в безопасном режиме.
В безопасном режиме перейдите к следующему местоположению файла.
По умолчанию папка RtBackup принадлежит системе, и вы не можете открыть или удалить эту папку. Следовательно, щелкните его правой кнопкой мыши и выберите «Свойства».
В меню "Свойства" перейдите на вкладку "Безопасность" и нажмите кнопку "Дополнительно".
Когда откроется вкладка "Дополнительная безопасность", нажмите ссылку "Изменить" рядом с разделом "Владелец".
Во всплывающем окне введите свое имя пользователя в текстовое поле «Введите имя объекта для выбора» и нажмите кнопку «Проверить имена». Как только он обнаружит ваше имя пользователя, нажмите кнопку ОК.
Если вы не знаете свое имя пользователя, перейдите в командную строку и просто введите whoami.
В меню «Дополнительная безопасность» установите флажок «Заменить владельца подконтейнеров и объектов». Затем нажмите кнопку ОК, чтобы сохранить изменения.
После этого вы можете щелкнуть правой кнопкой мыши папку RtBackup и удалить ее или даже переименовать.
Затем перезагрузите компьютер с Windows, и проблема должна быть решена.
6. Резервное копирование и переустановка Windows
Если ни один из вышеперечисленных способов не сработал, к сожалению, вам придется переустановить Windows.Прежде всего, сделайте резервную копию своей машины с помощью стороннего бесплатного приложения для резервного копирования, прежде чем приступать к переустановке.
Заключительные слова: служба журнала событий недоступна
Это были 5 отличных способов исправить ошибку «Служба журнала событий Windows недоступна». После исправления вы сможете нормально использовать свой компьютер с Windows.
Читайте также: