Служба журнала событий недоступна убедитесь что служба запущена
Перейти к содержимому

Служба журнала событий недоступна убедитесь что служба запущена

  • автор:

Мы видим ошибку, из-за которой не удается получить доступ к журналу безопасности.

Эта статья поможет устранить ошибку, из-за которой не удается получить доступ к журналу безопасности.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 2751670

Симптомы

Появляется следующее сообщение об ошибке «Средство просмотра событий не может открыть журнал событий или пользовательское представление. Убедитесь, что служба журнала событий запущена или запрос слишком длинный. Доступ запрещен» при попытке открыть журналы безопасности на некоторых контроллерах домена с учетной записью администратора домена.

Причина

У нас не было правильных разрешений безопасности, определенных для учетной записи журнала событий в реестре.

Разрешение

Для исправления ошибки можно выполнить следующие действия.

  • Проверенные разрешения NTFS для C:\Windows\System32\winevt\Logs — пользователь журнала событий имеет полный доступ
  • Установлен флажок HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Security — журнал событий не имеет разрешений.
  • Предоставлены разрешения на чтение nt service\EventLog в HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Security . (Это необходимо сделать, выбрав учетную запись локального компьютера, щелкнув «расположения».
  • Повторно Просмотр событий и подтверждено, что теперь мы можем читать журналы безопасности.

Обратная связь

Были ли сведения на этой странице полезными?

Служба журнала событий недоступна убедитесь что служба запущена

Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Сообщения: 969
Благодарности: 127

Апну тему.
Столкнулся с такой же проблемой, только на Windows 10 — про попытке просмотреть логи валится ошибка «Служба событий недоступна. Убедитесь, что служба запущена.» При попытке запуска службы «Журнал событий Windows» ошибка «Не удалось запустить службу Журнал событий Windows на Локальный компьютер. Ошибка 4201: переданное имя копии не было распознано поставщиком данных WMI как допустимое имя.».

Что делалось (по разным форумам):
У учетной записи СИСТЕМА полные права на каталог C:\Windows\System32\LogFiles\WMI\RtBackup
Переименование каталога C:\Windows\System32\LogFiles\ и его автоматическое пересоздание ничего не дало.

В итоге проблему решил изменением следующих ключей реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\AutoLogger\
\EventLog-Application\LogFileMode — сменил значение на 11000180 (Hex)
\EventLog-Security\LogFileMode — сменил значение на 100001c0 (Hex)
\EventLog-System\LogFileMode — сменил значение на 10000180 (Hex)
Перезагрузка, не помогло
\EventLog-Application\Start — сменил значение на 1
\EventLog-Security\Start — сменил значение на 1
\EventLog-System\Start — сменил значение на 1
После перезагрузки все заработало.
Предположу, что хватило бы последних трех ключей, но откатывать и проверять нет никакого желания.

Просмотр событий и ошибок с помощью Просмотр событий

Просмотр событий в журнале событий службы Defender для конечной точки

Идентификаторы событий можно просматривать в Просмотр событий на отдельных устройствах. Это может помочь, если, например, устройство не отображается в списке Устройств. В этом сценарии можно найти идентификаторы событий на устройстве, а затем использовать приведенную ниже таблицу для определения дальнейших действий по устранению неполадок на основе соответствующего идентификатора события.

Чтобы открыть журнал событий службы Defender для конечной точки, выполните следующие действия.

  1. Выберите Пуск в меню Windows, введите Просмотр событий и нажмите клавишу ВВОД, чтобы открыть Просмотр событий.
  2. В списке журналов в разделе Сводка журнала прокрутите страницу, пока не увидите Microsoft-Windows-SENSE/Operational. Дважды щелкните элемент, чтобы открыть журнал. Вы также можете получить доступ к журналу, разверните раздел Журналы> приложений и службMicrosoft>Windows>SENSE и выберите Операционный.

Примечание. SENSE — это внутреннее имя, используемое для обозначения датчика поведения, который обеспечивает Microsoft Defender для конечной точки.

Список событий, записанных службой, см. в следующей таблице.

Идентификатор события Сообщение Описание Действие
1 служба Microsoft Defender для конечной точки запущена (версия variable ). Происходит во время запуска системы, завершения работы и во время подключения. Уведомление о нормальной работе; никаких действий не требуется.
2 Microsoft Defender для конечной точки завершение работы службы. Происходит при выключении или отключении устройства. Уведомление о нормальной работе; никаких действий не требуется.
3 не удалось запустить службу Microsoft Defender для конечной точки. Код сбоя: variable . Служба не запущена. Просмотрите другие сообщения, чтобы определить возможную причину и действия по устранению неполадок.
4 Microsoft Defender для конечной точки служба связалась с сервером по адресу variable . Переменная = URL-адрес серверов обработки Defender для конечной точки.

Убедитесь, что параметры подключения и скрипты были развернуты правильно. Попробуйте повторно развернуть пакеты конфигурации.

Отключение: Перезагрузите систему.

Убедитесь, что параметры подключения и скрипты были развернуты правильно. Попробуйте повторно развернуть пакеты конфигурации.

Убедитесь, что параметры подключения и скрипты были развернуты правильно. Попробуйте повторно развернуть пакеты конфигурации.

Убедитесь, что параметры подключения и скрипты были развернуты правильно. Попробуйте повторно развернуть пакеты конфигурации.

Просмотр событий Defender для конечной точки в журнале системных событий

Microsoft Defender для конечной точки события также отображаются в журнале системных событий.

Чтобы открыть журнал системных событий, выполните следующие действия:

  1. Выберите Пуск в меню Windows, введите Просмотр событий и нажмите клавишу ВВОД, чтобы открыть Просмотр событий.
  2. В списке журналов в разделе Сводка журнала прокрутите страницу, пока не отобразится элемент Система. Дважды щелкните элемент, чтобы открыть журнал.

Эту таблицу можно использовать для получения дополнительных сведений о событиях Defender для конечной точки в журнале системных событий и определения дальнейших действий по устранению неполадок.

Идентификатор события Сообщение Описание Действие
1 Файл резервного копирования для сеанса в режиме реального времени SenseNdrPktmon достиг максимального размера. В результате новые события не будут записываться в этот сеанс, пока не станет доступно место. Этот сеанс в режиме реального времени между Pktmon — встроенной службой Windows, которая захватывает сетевой трафик, и агентом (SenseNDR), который анализирует пакеты асинхронно, настроен только для предотвращения потенциальных проблем с производительностью. В результате это оповещение может появиться, если в течение короткого периода времени перехватывается слишком много пакетов, что приводит к пропуску некоторых пакетов. Это оповещение чаще встречается при большом сетевом трафике. Уведомление о нормальной работе; никаких действий не требуется.

См. также

  • Подключение клиентских устройств Windows
  • Настройка параметров прокси-сервера устройства и соединения с Интернетом
  • Устранение неполадок Microsoft Defender для конечной точки
  • Обзор анализатора клиента
  • Скачивание и запуск анализатор клиента
  • Понимание отчета анализатора в формате HTML

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.

Как заставить заработать системную службу «Журнал событий Windows» в Windows 10?

Внимание, долгое и дотошное описание проблемы.
Сразу скажу, я пересмотрел всё что только возможно, в гугле и яндексе. Ситуация такова: служба «Журнал событий Windows» в Windows 10 (Корпоративная версия) напрочь не хочет запускаться. При запуске вручную через «Панель управления» -> «Администрирование» -> «Службы» видим следующее:
dcowsIj.png
Дело в том, что в «Управление компьютером» есть «Просмотр событий», использующий, как мне стало понятно, службу «Журнал событий Windows». Выводится при обращении к просмотру событий следующее:
KDAMpGm.png
Это и логично, служба не запускается же. Я начал копать вглубь, нашёл разную информацию. Далее напишу, что я сделал:

  1. Разблокировал учётку встроенного админа через командную строку с помощью команды net user администратор /active:yes. После этого всё оставшееся творил именно в ней, ибо полномочия её нужны.
  2. Проверил зависимости службы «Журнал событий Windows», всё от чего зависит эта служба или от кого она сама зависит — работает из автоматического запуска. Вот эти службы:
    jMw2zuc.png
    Да и в принципе, все службы, которым указан автоматический запуск — все они запускаются, кроме службы журнала!
  3. Открыл папку C:\Windows\System32\winevt, о которой пишут в многих инструкциях по решению моей проблемы, добавил как для этой папки, так и для подпапки Logs в правах пользователя LOCAL SERVICE, который якобы работает со службой журналов, вот подтверждение:
    zpNiXvx.png
    Тут же я как для winevt, так и для подпапки Logs добавил группу пользователей «Все», и дал ей полный доступ, на всякий случай. Даже для C:\Windows\Logs и C:\Windows\System32\LogFiles я добавил LOCAL SERVICE в полный доступ, а также по возможности группу «Все».
  4. Проверил на существование файл C:\Windows\System 32\services.exe, он на месте. Не думаю, что в нём проблема, ибо тогда, я уверен, другие критические службы не запустились.
  5. Встречал и бредовый, как мне кажется, совет сбросить таблицы маршрутизации через командную строку с помощью команд route -f и net winsock reset. После перезагружал компьютер.
  6. Обновлял драйвера через Iobit Driver Booster и DriverPack Solution Online (скачивание самых актуальных дров).
  7. Лазил в обновление Windows, ничего дельного там не было, ибо и так обновляюсь периодически, и галочки все установил заранее, чтобы качалось всё, что может быть:
    eOGua8Q.png
  8. Сменил владельца всех вышеописанных папок с «Система» на группу «Администраторы» по совету Василия — не получилось.

oQAbraO.png

Итог моим мучений — бессоная ночь и отсутствие результата! Проблема всё так же акутальна!
P.S.: Всё это было затеяно по причине установки на компьютер Microsoft Office 2007, который явно указал на проблему полномочий записи по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog, а там ещё и подпапки почти все не открываются с одинаковым вердиктом:

После я уже пробовал Microsoft Office 2016, тоже ставиться не хочет. Даже дошёл до того, что скачал portable версии офиса в отчаянии, так он мне заявил, что services.exe выдаёт ошибку 0x0000007e (довольно общая ошибка, но учитывая, что ранее я узнал о запуске службы журнала с её помощью, думаю, что портативный офис так же лезет к журналу Windows.

Фух, дочитали? 🙂 Что же, прошу помочь, подсказать, может я что-то не так сделал?? Я уже не знаю что ещё предпринять, хоть реально брать и сносить десятку, ставить Windows 7.

UPD: Отдельно задумался, можно ли ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog восстановить/сбросить по умолчанию? Типа, состояние настроек службы как у свежеустановленной операционной системы. Есть какие-то методы на крайний случай?

  • Вопрос задан более трёх лет назад
  • 10581 просмотр

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *