Служба журнала событий недоступна убедитесь что служба запущена
Перейти к содержимому

Служба журнала событий недоступна убедитесь что служба запущена

  • автор:

Мы видим ошибку, из-за которой не удается получить доступ к журналу безопасности.

Эта статья поможет устранить ошибку, из-за которой не удается получить доступ к журналу безопасности.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 2751670

Симптомы

Появляется следующее сообщение об ошибке «Средство просмотра событий не может открыть журнал событий или пользовательское представление. Убедитесь, что служба журнала событий запущена или запрос слишком длинный. Доступ запрещен» при попытке открыть журналы безопасности на некоторых контроллерах домена с учетной записью администратора домена.

Причина

У нас не было правильных разрешений безопасности, определенных для учетной записи журнала событий в реестре.

Разрешение

Для исправления ошибки можно выполнить следующие действия.

  • Проверенные разрешения NTFS для C:\Windows\System32\winevt\Logs — пользователь журнала событий имеет полный доступ
  • Установлен флажок HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Security — журнал событий не имеет разрешений.
  • Предоставлены разрешения на чтение nt service\EventLog в HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Security . (Это необходимо сделать, выбрав учетную запись локального компьютера, щелкнув «расположения».
  • Повторно Просмотр событий и подтверждено, что теперь мы можем читать журналы безопасности.

Обратная связь

Были ли сведения на этой странице полезными?

Что такое просмотр событий в Windows и как его можно использовать

Использование просмотра событий в Windows

Просмотр событий в Windows отображает историю (журнал) системных сообщений и событий, генерируемых программами — ошибок, информационных сообщений и предупреждений. Кстати, мошенники иногда могут использовать просмотр событий для обмана пользователей — даже на нормально функционирующем компьютере в журнале всегда будут сообщения об ошибках.

Запуск просмотра событий

Для того, чтобы запустить просмотр событий Windows, наберите это самое словосочетание в поиске или же зайдите в «Панель управления» — «Администрирование» — «Просмотр событий»

Запуск просмотра событий

События распределены по различным категориям. Например, журнал приложений содержит сообщения установленных программ, а журнал Windows — системных событий операционной системы.

Просмотр событий Windows

Вы гарантированно обнаружите ошибки и предупреждения в просмотре событий, даже если с Вашим компьютером все в полном порядке. Просмотр событий Windows разработан для того, чтобы помочь системным администраторам следить за состоянием компьютеров и выяснять причины возникновения ошибок. Если с Вашим компьютеров нет видимых проблем, то скорее всего, отображаемые ошибки не являются важными. Например, часто можно увидеть ошибки о сбое определенных программ, которые произошли недели назад при однократном их запуске.

Системные предупреждения также обычно не являются важными для рядового пользователя. Если Вы решаете проблемы, связанные с настройкой сервера, то они могут оказаться полезными, в противном случае — скорее всего, нет.

Использование просмотра событий

Собственно, зачем вообще я об этом пишу, раз в просмотре событий Windows нет ничего интересного для обычного пользователя? Все-таки данная функция (или программа, утилита) Windows может быть полезной при возникновении проблем с компьютером — когда случайным образом появляется синий экран смерти Windows, или происходит произвольная перезагрузка — в просмотре событий можно отыскать причину данных событий. К примеру, ошибка в журнале системы может дать информацию о том, драйвер какого именно оборудования вызвал сбой для последующих действий по исправлению ситуации. Просто найдите ошибку, которая возникла в то время, когда компьютер перезагрузился, завис или отобразил синий экран смерти — ошибка будет отмечена как критическая.

Есть и другие применения просмотра событий. Например, Windows записывает время полной загрузки операционной системы. Или, если на вашем компьютере располагается сервер, Вы можете включить запись событий выключения и перезагрузки — всякий раз, когда кто-то будет выключать ПК, ему потребуется ввести причину этого, а вы сможете позже просмотреть все выключения и перезагрузки и введенную причину события.

Привязка задачи к событию

Кроме этого, можно использовать просмотр событий совместно с планировщиком задач — кликните правой кнопкой мыши по любому событию и выберите «Привязать задачу к событию». Всякий раз, когда будет происходить данное событие, Windows будет запускать соответствующую задачу.

А вдруг и это будет интересно:

  • Лучшие бесплатные программы для Windows
  • Браузер Arc доступен для Windows 11
  • Что за пользователь ASPNET в Windows
  • Как разрешить обычному пользователю запускать программу от имени Администратора без ввода пароля
  • Как выйти из полноэкранного режима в Windows
  • Как включить компактный вид панели быстрых настроек Windows 11
  • Windows 11
  • Windows 10
  • Android
  • Загрузочная флешка
  • Лечение вирусов
  • Восстановление данных
  • Установка с флешки
  • Настройка роутера
  • Всё про Windows
  • В контакте
  • Одноклассники

    Вадим Валериевич 20.01.2018 в 17:18

  • Dmitry 21.01.2018 в 09:31

Служба журнала событий недоступна убедитесь что служба запущена

Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Сообщения: 969
Благодарности: 127

Апну тему.
Столкнулся с такой же проблемой, только на Windows 10 — про попытке просмотреть логи валится ошибка «Служба событий недоступна. Убедитесь, что служба запущена.» При попытке запуска службы «Журнал событий Windows» ошибка «Не удалось запустить службу Журнал событий Windows на Локальный компьютер. Ошибка 4201: переданное имя копии не было распознано поставщиком данных WMI как допустимое имя.».

Что делалось (по разным форумам):
У учетной записи СИСТЕМА полные права на каталог C:\Windows\System32\LogFiles\WMI\RtBackup
Переименование каталога C:\Windows\System32\LogFiles\ и его автоматическое пересоздание ничего не дало.

В итоге проблему решил изменением следующих ключей реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\AutoLogger\
\EventLog-Application\LogFileMode — сменил значение на 11000180 (Hex)
\EventLog-Security\LogFileMode — сменил значение на 100001c0 (Hex)
\EventLog-System\LogFileMode — сменил значение на 10000180 (Hex)
Перезагрузка, не помогло
\EventLog-Application\Start — сменил значение на 1
\EventLog-Security\Start — сменил значение на 1
\EventLog-System\Start — сменил значение на 1
После перезагрузки все заработало.
Предположу, что хватило бы последних трех ключей, но откатывать и проверять нет никакого желания.

Как заставить заработать системную службу «Журнал событий Windows» в Windows 10?

Внимание, долгое и дотошное описание проблемы.
Сразу скажу, я пересмотрел всё что только возможно, в гугле и яндексе. Ситуация такова: служба «Журнал событий Windows» в Windows 10 (Корпоративная версия) напрочь не хочет запускаться. При запуске вручную через «Панель управления» -> «Администрирование» -> «Службы» видим следующее:
dcowsIj.png
Дело в том, что в «Управление компьютером» есть «Просмотр событий», использующий, как мне стало понятно, службу «Журнал событий Windows». Выводится при обращении к просмотру событий следующее:
KDAMpGm.png
Это и логично, служба не запускается же. Я начал копать вглубь, нашёл разную информацию. Далее напишу, что я сделал:

  1. Разблокировал учётку встроенного админа через командную строку с помощью команды net user администратор /active:yes. После этого всё оставшееся творил именно в ней, ибо полномочия её нужны.
  2. Проверил зависимости службы «Журнал событий Windows», всё от чего зависит эта служба или от кого она сама зависит — работает из автоматического запуска. Вот эти службы:
    jMw2zuc.png
    Да и в принципе, все службы, которым указан автоматический запуск — все они запускаются, кроме службы журнала!
  3. Открыл папку C:\Windows\System32\winevt, о которой пишут в многих инструкциях по решению моей проблемы, добавил как для этой папки, так и для подпапки Logs в правах пользователя LOCAL SERVICE, который якобы работает со службой журналов, вот подтверждение:
    zpNiXvx.png
    Тут же я как для winevt, так и для подпапки Logs добавил группу пользователей «Все», и дал ей полный доступ, на всякий случай. Даже для C:\Windows\Logs и C:\Windows\System32\LogFiles я добавил LOCAL SERVICE в полный доступ, а также по возможности группу «Все».
  4. Проверил на существование файл C:\Windows\System 32\services.exe, он на месте. Не думаю, что в нём проблема, ибо тогда, я уверен, другие критические службы не запустились.
  5. Встречал и бредовый, как мне кажется, совет сбросить таблицы маршрутизации через командную строку с помощью команд route -f и net winsock reset. После перезагружал компьютер.
  6. Обновлял драйвера через Iobit Driver Booster и DriverPack Solution Online (скачивание самых актуальных дров).
  7. Лазил в обновление Windows, ничего дельного там не было, ибо и так обновляюсь периодически, и галочки все установил заранее, чтобы качалось всё, что может быть:
    eOGua8Q.png
  8. Сменил владельца всех вышеописанных папок с «Система» на группу «Администраторы» по совету Василия — не получилось.

oQAbraO.png

Итог моим мучений — бессоная ночь и отсутствие результата! Проблема всё так же акутальна!
P.S.: Всё это было затеяно по причине установки на компьютер Microsoft Office 2007, который явно указал на проблему полномочий записи по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog, а там ещё и подпапки почти все не открываются с одинаковым вердиктом:

После я уже пробовал Microsoft Office 2016, тоже ставиться не хочет. Даже дошёл до того, что скачал portable версии офиса в отчаянии, так он мне заявил, что services.exe выдаёт ошибку 0x0000007e (довольно общая ошибка, но учитывая, что ранее я узнал о запуске службы журнала с её помощью, думаю, что портативный офис так же лезет к журналу Windows.

Фух, дочитали? 🙂 Что же, прошу помочь, подсказать, может я что-то не так сделал?? Я уже не знаю что ещё предпринять, хоть реально брать и сносить десятку, ставить Windows 7.

UPD: Отдельно задумался, можно ли ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog восстановить/сбросить по умолчанию? Типа, состояние настроек службы как у свежеустановленной операционной системы. Есть какие-то методы на крайний случай?

  • Вопрос задан более трёх лет назад
  • 10621 просмотр

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *