Logowanie
Naprawa usługi dziennika zdarzeń/podglądu zdarzeń Windows XP

Autor: Mariusz Kołacz (rokko)
Strona autora: techformator.pl
Kontakt: m.kolacz(at)hotfix.pl

Gdy system jest niestabilny, często w nieoczekiwanych momentach zawiesza się, aplikacje nie reagują na nasze polecenia lub tuż po uruchomieniu komunikują nam błąd, zazwyczaj chcemy dowiedzieć się, dlaczego tak jest i co można zrobić, aby naprawić to. W tego typu sytuacjach niezwykle cennym źródłem informacji jest usługa dziennika zdarzeń (podglądu zdarzeń), która na bieżąco monitoruje (rejestruje) wszelkie zdarzenia systemowe. Jako że wszelkie zdarzenia zapisywane są w tzw. dziennikach, zawsze możemy dostać się do zawartych w nich informacji i ustalić przyczynę błędów. Niestety czasem może zdarzyć się, iż wspomniana usługa zostanie uszkodzona lub wyłączona, przez co żadne zdarzenia nie będą logowane, a my zostaniemy pozbawieni cennego źródła informacji. W niniejszym poradniku opiszę. w jaki sposób przywrócić do życia tę funkcjonalność.

 1.  W pierwszej kolejności sprawdzamy czy usługa Dziennik zdarzeń (Podgląd zdarzeń) jest uruchomiona, w tym celu skorzystamy z przystawki services.msc (Usługi).

Start -> Uruchom -> services.msc

Inny sposób uruchomienia to Start -> Panel sterowania -> Przełącz do widoku klasycznego -> Narzędzia administracyjne -> Usługi

Na liście szukamy usługi Dziennik zdarzeń (Podgląd zdarzeń, Event Log) i patrzymy, jaki jest jej typ uruchomienia (domyślnie Automatyczny) oraz aktualny stan (domyślnie Stan usługi = Uruchomiono). Jeżeli usługa posiada typ uruchomienia Wyłączony lub Ręczny, zmieniamy go na Automatyczny. Wykonamy to poprzez dwukrotne kliknięcie usługi (2xLPM) i wybraniu z listy pożądanego typu uruchomienia. Po dokonaniu wyboru klikamy Zastosuj, a następnie Uruchom. Jeżeli podczas uruchamiania usługi nie otrzymaliśmy komunikatu o błędzie i zobaczymy, iż zmienił się stan usługi na Uruchomiono, będzie to oznaczać, iż wszystko przebiegło prawidłowo, usługa jest aktywna. Restartujemy komputer. Aby dodatkowo upewnić się czy wszystko działa jak należy, po restarcie uruchamiamy dziennik zdarzeń. Wykonujemy kolejno Start -> Uruchom -> eventvwr.msc i klikamy na dowolny dziennik. Jeżeli pojawią się wpisy w dzienniku, to znaczy, iż operacja "naprawy" powiodła się.

 2.  Inną przyczyną usterki może być uszkodzony plik odpowiedzialny za całą realizację obsługi zdarzeń w systemie eventlog.dll. W tego typu przypadkach należy przywrócić oryginalny plik z płytki systemu Windows XP. Kopia zapasowa pliku również powinna być dostępna w katalogu C:\Windows\system32\dllcache, jednakże gdy takiej nie odnajdziemy, pozostanie przywrócenie pliku z płyty instalacyjnej spod konsoli odzyskiwania.

Dla Windows XP, po wejściu do konsoli wykonujemy:

expand X:\i386\eventlog.dl_ C:\Windows\system32


Na wszelki wypadek można również przywrócić plik eventvwr.exe


expand X:\i386\eventvwr.ex_ C:\Windows\system32


Gdzie X: oznacza literę napędu CD\DVD

Aby dowiedzieć się, pod którą literą znajduje się Nasz napęd, wydajemy polecenie MAP lub MAP ARC

Opis konsoli XP znajdziemy w tym artykule => Konsola odzyskiwania systemu Windows XP

Jeżeli z różnych powodów nie posiadamy lub nie mamy dostępu do nośnika instalacyjnego Windows XP, a dysponujemy płytą instalacyjną lub naprawczą Windows Vista, do przywrócenia pliku możemy wykorzystać właśnie ją. W tym wypadku cała procedura jest nieco inna i wymaga od Nas posiadania pliku instalacyjnego Service Pack dla Windows XP.

Całą procedurę opisano w tym poradniku => Naprawa uszkodzonych plików systemowych (Vista). Poradnik dotyczy przywracania plików dla Visty, jednak opisana procedura również znajduje zastosowanie w przypadku systemu XP.

Opis środowiska WinPE Visty można znaleźć tutaj => WinPE - Konsola odzyskiwania systemu Windows Vista

 3.  W przypadku, gdy po przywróceniu oryginalnego pliku eventlog.dll sytuacja nie zmieniła się tzn. wciąż usługa śledzenia zdarzeń nie działa, należy usunąć wszystkie wygenerowane pliki dzienników. Wcześniej jednak należy aktywować funkcję wyświetlania rozszerzeń plików. W tym celu w Start -> Uruchom, wpisujemy control folders. W oknie Opcje Folderów przechodzimy na zakładkę Widok i wśród ustawień zaawansowanych szukamy i odznaczamy opcję Hide extensions for known file types, po czym klikamy Zastosuj -> OK. Po jej aktywacji, wraz z nazwą pliku, pojawi się jego rozszerzenie, na podstawie którego, można jednoznacznie zidentyfikować typ pliku.

Wszystkie dzienniki generowane przez mechanizm śledzenia zdarzeń znajdują się w C:\Windows\system32\config (%SystemRoot%\System32\config) ,zatem przechodzimy do wspomnianego katalogu, tworzymy w nim nowy folder o przykładowej nazwie kopia i przesuwamy do niego wszystkie pliki z rozszerzeniem EVT. Pamiętajmy, aby w folderze config nie pozostawić ani jednego pliku EVT, w przeciwnym razie po ponownym uruchomieniu, system nie utworzy nowego dziennika, lecz będzie wykorzystywał jego starszą kopię, która potencjalnie jest uszkodzona.

Poniżej znajduje się lista dzienników, które możemy znaleźć w folderze config:

  • ACEEvent.evt
  • AppEvent.evt
  • Internet.evt
  • ODiag.evt
  • OSession.evt
  • SecEvent.evt
  • SysEvent.evt

Po usunięciu plików restartujemy komputer. System odbuduje pliki dzienników. Oczywiście testujemy, czy funkcjonalność powróciła, jeżeli jest inaczej, przechodzimy do kolejnego punktu.

 4.  W przypadku, gdy uszkodzeniu ulegnie klucz w rejestrze, najlepszym rozwiązaniem będzie wyeksportowanie na innej sprawnej maszynie poniższego klucza wraz z całą grupą podkluczy. Eksport klucza odbywa się poprzez kliknięcie na nim (EventLog) Prawym Przyciskiem Myszy i wybraniu z menu kontekstowego opcji Eksportuj. Pojawi się okno eksportu, gdzie określamy jedynie, w którym miejscu zapisać plik i pod jaką nazwą. Wyeksportowane dane będą w postaci pliku o rozszerzeniu REG.


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog


Przed dokonaniem jakichkolwiek modyfikacji należy bezwzględnie wykonać kopię zapasową rejestru. Jak tego dokonać opisano w tym artykule => Tworzenie kopii rejestru systemu Windows

Tego typu plik należy importować na uszkodzonym systemie, dwukrotnie klikając na pliku i potwierdzając chęć dodania go do rejestru, lub też poprzez uruchomienie edytora rejestru i wybraniu z menu Plik opcji Importuj.

W razie jakichkolwiek problemów pomoc możecie uzyskać na Naszym forum www.forum.hotfix.pl



Copyright © rokko
· Napisane przez rokko dnia 10/04/2009 10:10 · 0 komentarzy ·
Reklama

Komentarze
Brak dodanych komentarzy. Może czas dodać swój?
Dodaj komentarz
Dla wszystkich komentarzy wymagana jest ich akceptacja przez moderatora.

Nick:



AntyBOT (dla niezalogowanych): Napisz słowo hotfix wielkimi literami

/articles.php?article_id=123

Artykuły
Polecany artykuł


Jak walczyć z pobieraczkiem? Jak odstąpić od umowy? O tym w artykule.
Ostatnie komentarze
gryPrzez: Maciak Plock [dnia: Apr 03, 2020]
wynik jest wysoko w google, przy...
gryPrzez: MAMBA [dnia: Mar 24, 2020]
Warning: Only 61104 of 61105 MBy...
gryPrzez: Random32 [dnia: Mar 18, 2020]
Witam, u mnie na polskim Window...
gryPrzez: muffintodebil [dnia: Mar 04, 2020]
aha gosicu to niezly jestes zaaw...
gryPrzez: Maciek [dnia: Feb 20, 2020]
2 karty 512 kupione na allegro: ...
gryPrzez: xd [dnia: Feb 05, 2020]
zrobiłem sposób Vin/7 na dziesią...
gryPrzez: gtremik [dnia: Jan 25, 2020]
Dzięki seba86mu :) Działa
gryPrzez: Mirek [dnia: Jan 22, 2020]
A jest rozwiązanie dla Windowsa 10?
Gry
Polecany artykuł


Quake

Klasyk FPS w wersji flash.
Programy
Polecany artykuł


Tapin Radio Darmowa aplikacja służąca do słuchania i nagrywania radia internetowego
Recenzje
Polecana recenzja


Sleeping Dogs
Policjant pod przykrywką rozpracowuje Triadę.
Facebook