[SimSim]

Столкнулся с аналогичной ситуацией. Прошу помощи.

[Petya V4sechkin]

simsim
Судя по поиску, многие страдают от той же проблемы.
Гугль
Микрософт

Вот перспективная тема.
Предлагается проверить разрешения и владельца папки %windir%\System32\Logfiles.
Там же описан второй способ (reset WMI).

[SimSim]

Petya V4sechkin
Владелец папки и все разрешения определены. Результат отрицательный.

Уточнение - невозможно назначить (определить) владельца файла C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl

[Petya V4sechkin]

simsim
Как я уже сказал, там и второй способ описан (reset WMI).

[SimSim]

Второй способ:

Код:

Try the following to reset your WMI:

This is a little different, and should only be tried if nothing else works.

   1. Start the computer in Safe Mode without networking.
   2. Open a command prompt as administrator
   3. Type "net stop winmgmt" without quotes and press enter to make certain the wmi service is not running.
   4. Go to the windows\system32\WBEM\ and rename the Repository folder.
   5. Restart the system to normal mode.
   6. Open a command prompt as administrator.
   7. Type "net stop winmgmt" without quotes and press enter to stop the wmi service.
   8. Type winmgmt /resetRepository and restart the system.
   9. Test the event viewer.

При исполнении восьмого пункта получаю следующее:

Не удалось восстановить базу данных WMI в исходное состояние.
Код ошибки: 0х8007041В
Оборудование: Win32
Описание: Команда остановки была отправлена службе, от которой зависят другие приложения.


Какие должны быть дальнейшие действия?

[Petya V4sechkin]

simsim
Странно. А команда "net stop winmgmt" нормально отрабатывает? Останавливает службу?

[SimSim]

Petya V4sechkin Команда отрабатывает нормально. Служба останавливается, удаётся переименовать папку Repository. После перезагрузки (пункт 5) папки Repository нет, но после пункта 8 она появляется.

[Petya V4sechkin]

simsim
А пункт 7 не пропустили? Когда второй раз надо останавливать службу?
UAC отключен?

P. S. Извините, что переспрашиваю, просто других идей у меня нет.

[SimSim]

Цитата:

А пункт 7 не пропустили? Когда второй раз надо останавливать службу?

Не пропускал.

Цитата:

UAC отключен?

Нет.

[Petya V4sechkin]

simsim

Цитата:

Команда остановки была отправлена службе, от которой зависят другие

Вот интересно, какую тогда службу оно пытается остановить (при том, что winmgmt мы уже тормознули). Очень досадно, что нельзя посмотреть это в журнале событий ;)
Может, попробовать постепенно отключать некритичные службы (предварительно запомнив их состояние, чтобы потом восстановить)?

Цитата:

невозможно назначить (определить) владельца файла C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl

Может, проделать все операции по изменению владельца и разрешений на папку System32\LogFiles (и все вложенные объекты) в безопасном режиме, отключив службу winmgmt?

[SimSim]

Цитата:

Очень досадно, что нельзя посмотреть это в журнале событий

Вот именно. Иногда оччччень хочется узнать чем это Виста занимается во-время притормаживания.

Цитата:

Может, проделать все операции по изменению владельца и разрешений на папку System32\LogFiles (и все вложенные объекты) в безопасном режиме, отключив службу winmgmt?

Пробовал. Ничего не получатся. Активировал и встроенного администратора. Результат отрицательный.
Неужели у всех работает журнал событий?

[Vancouver]

Просто в безопасном режиме переименуйте папку LogFiles в LogFiles.old

[SimSim]

Vancouver

Цитата:

Просто в безопасном режиме переименуйте папку LogFiles в LogFiles.old

Результат - нет доступа к файлу C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl, в чём я и так был уверен. Перепроверка не помешала.

Petya V4sechkin Попробовал повторно перезагрузить WMI, предварительно отключив UAC. На этот раз база восстановилась нормально, но... по-прежнему журнал событий не запускается.
Просмотрев состояние Журнала событий в службах обнаружил, что служба "остановлена" Попытка запуска даёт ошибку 4201.
Обнаружено, что вход в систему этой службы настроен с учётной записью Local Service, а не с системной учётной записью. Изменить невозможно.
Исполняемый файл C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
В параметрах запуска пусто.
Где ещё что-то можно подправить?

P.S.Отзовитесь у кого работает служба Журнал событий.

[Vancouver]

У меня работает. Мне помогло переименование папки LogFiles.
Эта ошибка происходит когда Вы переназначаете права доступа к диску С:

[SimSim]

Vancouver Вотэтот единственный файл EtwRTDiagLog.etl и не даёт переименовать папку. "У вас нет прав доступа на изменение атрибутов этого файла" Всё что я могу видеть на вкладке безопасность.

[Vancouver]

Вариант:
Открыть Свойства папки C:\Windows\System32\LogFiles - открой закладку Безопасности, и нажми кнопку "Дополнительно" открой вкладку Владелец, а затем нажми кнопку Изменить на Администратора (или пользователя). Во вкладке"Изменить владельца" поставь галку "заменить владельца на subcontainers и объектов" и нажимай кнопку "Продолжить" на все сообщения об ошибке, закрой все открытые окна.Перезагрузись.

[SimSim]

VancouverВ том-то и дело, что владелец всех файлов в этой папке определён, за исключением вышеуказаного. Причём открывая вкладку безопасность любого файла, сразу открывается окно с перечнем групп и пользователей. А при открытии вкладки безопасность файла EtwRTDiagLog.etl сообщается "У вас нет разрешения на просмотр и изменение текущих разрешений для даного объекта. При нажатии "доолнительно" и попытке назначить владельца - "отказано в доступе". И в безопасном режиме аналогично.

[Vancouver]

Приведенный мною вариант, пременяется ко Всей Папке. Независимо от установленных разрешений для файлов находящихся внутри её.
И нажимай кнопку "Продолжить" на все сообщения об ошибке "У вас нет разрешения на просмотр и изменение текущих разрешений для даного объекта".

[Petya V4sechkin]

simsim
Интересно было бы посмотреть от имени SYSTEM разрешения (т. е. запустить какой-нибудь файловый менеджер от имени SYSTEM).
Это можно сделать с помощью планировщика заданий, например:

Код:

at 12:17 /interactive C:\Totalcmd\Totalcmd.exe

Но терзают смутные сомнения, что планировщик заданий тоже не работает (как раз из-за журнала событий). Тогда можно зарегистрировать службу. Например, с помощью Instrsrv.exe + Srvany.exe или оболочки Any Service (не знаю, сработает ли оно на Висте, но почему бы и нет). А, еще PsExec есть.

[SimSim]

Цитата:

Но терзают смутные сомнения, что планировщик заданий тоже не работает (как раз из-за журнала событий)

Точно, не работает.

Поэкспериментирую и отпишусь.

[Vancouver]

simsim

Цитата:

1. Restart the computer into Safe Mode without networking. (Press F8 while rebooting) 2. In Safe Mode, open Start Menu. 3. In white line (Start Search) area type cmd. 4. Right click cmd (at top) and click Run as administrator. 5. In command prompt, type net stop winmgmt and press Enter. (To make certain the wmi service is not running.) 6. Wait until successful message appears. Close command prompt. 7. Go to this location: C:\Windows\System32\wbem 8. Right click on Repository folder and click [/b]Rename. 9. Name it RepositoryOld and press Enter. 10. Restart the computer to Normal Mode. (Must be done within your account) 11. When done starting up, open Start Menu. 12. In white line (Start Search) area type cmd. 13. Right click cmd (at top) and click Run as administrator. 14. In command prompt, type net stop winmgmt and press Enter. (To stop the wmi service.) 15. Wait until successful message appears and then type winmgmt /resetRepository and press Enter. 16. Wait until successful message appears and then Restart computer. (Normal Mode) 17. Test the Event Viewer. It should be working now. 18. If its working again, then go back and delete the RepositoryOld folder

[Vancouver]

Хмм..Есть еще вариант, это использовать The WMI Diagnosis Utility -- Version 2.0
The WMI Diagnosis Utility

[SimSim]

Vancouver Если Вы внимательно читали тему, должны были заметить, что то, что предлагается Вами в посте #22 уже предлагалось и использовалось.

Вопрос: что даст The WMI Diagnosis Utility?

[SimSim]

Запустил The WMI Diagnosis Utility. Спустя некоторое время получил результат тестирования в-виде длиннющего log-файла с кучей ошибок WMI. Сижу разбираюсь что к чему.

[Petya V4sechkin]

simsim

Цитата:

Спустя некоторое время получил результат тестирования в-виде длиннющего log-файла с кучей ошибок WMI

Может, выложите?

Еще вопрос - вы файл подкачки не отключали, случайно? Не знаю, как в Висте, а в XP отключение файла подкачки приводит к специфическим проблемам с WMI.

Каковы результаты эксперимента с запуском файлового менеджера от имени SYSTEM? Удалось увидеть разрешения EtwRTDiagLog.etl?

[SimSim]

Petya V4sechkin

Цитата:

Может, выложите?

Так он-же гад длиннющий! А архив не знаю как прицепить.

Файл подкачки не отключал.

Цитата:

Каковы результаты эксперимента с запуском файлового менеджера от имени SYSTEM? Удалось увидеть разрешения EtwRTDiagLog.etl?

До этого руки ещё не дошли.

[Petya V4sechkin]

simsim

Цитата:

А архив не знаю как прицепить.

При редактировании поста есть кнопка "Прикрепить файл".
Или на какой-нибудь rapidshare.com / rapidshare.ru

Цитата:

До этого руки ещё не дошли.

Легче всего так:

Код:

PsExec -i -d -s C:\Totalcmd\Totalcmd.exe

[SimSim]

Petya V4sechkin

Цитата:

При редактировании поста есть кнопка "Прикрепить файл".

А я искал при создании сообщения. Спасибо за совет, вечером выложу (сейчас нет под руками) Сответственно отпишусь о результатах запуска от имени SYSTEM.

[SimSim]

Petya V4sechkin Запустил PsExec -i -d -s d:\Far\far.exe
Получил результат: d:\Far\far.exe started at SIMSIM-M with process ID 1560
Прикрепил отчёт wmi

[SimSim]

Да... За пять суток один просмотр прикреплённого отчёта... Как я понимаю, поможет переустановка ОС. Может-быть...

[Blast]

simsim
форум не отдает аттач нормально, просто стопорится... выложи куда-то плиз.

[SimSim]

Выложил результаты диагностики сюда http://slil.ru/24523586
Помогите кто может добрым словом. Ибо Виста на грани переинсталяции...

[SimSim]

Произвёл полную переустановку ОС. Проблема осталась. К сожалению...

[SimSim]

Проблема решена! Как обычно, примерно раз в неделю устанавливаю обновления. Вот, после сегодняшнего обновления всё заработало. Вот такая петрушка...

[Vancouver]

simsim

Цитата:

Вот, после сегодняшнего обновления всё заработало. Вот такая петрушка..

Номерок обновления в студию плизз...

[SimSim]

Были установлены следующие обновления
КВ939720
КВ939677
КВ939004
КВ938956
Но по описаниям этих обновлений, я не нахожу причин, почему заработал журнал событий. А он заработал.

[Silver_Johnes]

Имею ту же проблему. Все обновления стоят.

[Petya V4sechkin]

Еще один вариант предлагается здесь (запуск subinacl и secedit для установки дефолтных прав на ветки реестра и системный диск). Конечно, запускать эти операции надо от имени Администратора (встроенной учетной записи).

[Liten]

Petya V4sechkin а по подробнее можно? Скачал всё что нужно, создал cmd, но далее не понял...
Можно инструкцию на родном и любимом языке...

у меня посыпалось на ошибках

читать дальше »

C:\Users\Администратор>"C:\Program Files\Windows Resource Kits\Tools\s.cmd"

Resetting ACLs...
(this may take several minutes to complete)

==========================================================================


LookupAccountName : HKEY_LOCAL_MACHINE:administrators 1337 Идентификатор безопас
ности имеет неверную структуру.

Current object HKEY_LOCAL_MACHINE will not be processed


Elapsed Time: 00 00:00:00
Done: 0, Modified 0, Failed 0, Syntax errors 1
Last Syntax Error:WARNING : /grant=administrators=f : Error when checking argume
nts - HKEY_LOCAL_MACHINE


LookupAccountName : HKEY_CURRENT_USER:administrators 1337 Идентификатор безопасн
ости имеет неверную структуру.

Current object HKEY_CURRENT_USER will not be processed


Elapsed Time: 00 00:00:00
Done: 0, Modified 0, Failed 0, Syntax errors 1
Last Syntax Error:WARNING : /grant=administrators=f : Error when checking argume
nts - HKEY_CURRENT_USER


LookupAccountName : HKEY_CLASSES_ROOT:administrators 1337 Идентификатор безопасн
ости имеет неверную структуру.

Current object HKEY_CLASSES_ROOT will not be processed


Elapsed Time: 00 00:00:00
Done: 0, Modified 0, Failed 0, Syntax errors 1
Last Syntax Error:WARNING : /grant=administrators=f : Error when checking argume
nts - HKEY_CLASSES_ROOT


System Drive...
LookupAccountName : C:\Program Files\Windows Resource Kits\Tools:administrators
1337 Идентификатор безопасности имеет неверную структуру.

Current object C:\Program Files\Windows Resource Kits\Tools will not be processe
d

[Cutieboy]

Как сделать, чтобы при возникновении ЛЮБОЙ ошибки появлялось всплывающее окно с кодом и описанием ошибки?

[Michael]

Апну тему.
Столкнулся с такой же проблемой, только на Windows 10 - про попытке просмотреть логи валится ошибка "Служба событий недоступна. Убедитесь, что служба запущена." При попытке запуска службы "Журнал событий Windows" ошибка "Не удалось запустить службу Журнал событий Windows на Локальный компьютер. Ошибка 4201: переданное имя копии не было распознано поставщиком данных WMI как допустимое имя.".

Что делалось (по разным форумам):
У учетной записи СИСТЕМА полные права на каталог C:\Windows\System32\LogFiles\WMI\RtBackup
Переименование каталога C:\Windows\System32\LogFiles\ и его автоматическое пересоздание ничего не дало.

В итоге проблему решил изменением следующих ключей реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\AutoLogger\
\EventLog-Application\LogFileMode - сменил значение на 11000180 (Hex)
\EventLog-Security\LogFileMode - сменил значение на 100001c0 (Hex)
\EventLog-System\LogFileMode - сменил значение на 10000180 (Hex)
Перезагрузка, не помогло
\EventLog-Application\Start - сменил значение на 1
\EventLog-Security\Start - сменил значение на 1
\EventLog-System\Start - сменил значение на 1
После перезагрузки все заработало.
Предположу, что хватило бы последних трех ключей, но откатывать и проверять нет никакого желания.