PDA

Просмотр полной версии : [решено] Windows 7HE. Не запускается служба журнала событий


vl1639
06-10-2011, 19:25
Windows 7HE. Не запускается служба журнала событий. При попытке запуска выдается сообщение, что поставщик данных WMI не распознает данное имя как допустимое? Как исправить?

 
 

gecata
06-10-2011, 19:40
vl1639
Здесь поройся http://social.technet.microsoft.com/Forums/ru-RU/ws2008ru/thread/cd6d3771-0cf1-4597-bbce-2b4ca28c7bc9

vl1639
12-10-2011, 14:52
После рекомендованного переименования папки LogFiles стало появляться сообщение - ошибка 5. В доступе отказано. Кстати в безопасном режиме к этой папке, как не устанавливал приоритеты, доступа получить не смог. Загрузился в ДОСе с флешки и переименовал. Пока не помогло. Может в НЕ журнал не положен?

gecata
12-10-2011, 14:56
vl1639
У меня хомяк базовый (лицензия). Служба включена по умолчанию

А у тебя services.exe в системе имеется?

vl1639
12-10-2011, 23:07
Вообще такой файл имеется в папке win32, если это служба, то в списке работающих файлов - не числится.
По умолчанию у меня тоже стоит запускаться автоматически, но и вручную не запустить.

gecata
13-10-2011, 10:45
vl1639
Попробуй его зарегистрировать (Пуск - Выполнить regserver services.exe) :confused:

Dmitry_S
13-10-2011, 10:52
файл имеется в папке win32
не win32, а system32
то в списке работающих файлов - не числится
"отображать процессы всех пользователей" включено?
Попробуй его зарегистрировать (Пуск - Выполнить regserver services.exe)
А что это и зачем?

gecata
13-10-2011, 11:06
Ну, Дим, если что-то есть и почему-то не работает, значит, почему-то система это игнорирует...

Dmitry_S
13-10-2011, 11:35
gecata
Пуск - Выполнить regserver services.exe - а разве это должно работать?

vl1639
13-10-2011, 13:43
После "отображать процессы всех пользователей" появился в списке процессов (а я искал в службах)
А сама служба журнала это какой-то один запущенный файл?

gecata
13-10-2011, 13:45
http://www.oszone.net/display.php?id=2535

vl1639
13-10-2011, 16:41
пробовал regserver services.exe - не удается найти regserver
поиском (кроме того, что возле кругляка, на W7 есть что-либо получше) - не находит.
ознакомится с другими результатами - не работает.

gecata
13-10-2011, 17:05
Сорь... services.exe /RegServer
Но раз оно в процессах и так есть, то и не надо

А в службах точно нету? Посмотри этим ещё http://wa7.ru/nastrojka-windows/cmd/net-start.html

vl1639
13-10-2011, 17:26
пробую Net start eventlog - появлется сообщение Служба "журнал событий" запускается, потом окно гаснет, проверяю - служба не запущена. Нажимаю запустить - Ошибка 5. отказано в доступе. (В доступе куда или к какому файлу или папке)

gecata
13-10-2011, 17:30
С админскими правами запускаешь?

gecata
13-10-2011, 17:40
а пройдись поиском по реестру - чего у тебя там есть по поводу eventlog?

vl1639
13-10-2011, 17:41
у меня только один вход админский. Вот по поводу системной папки -
кажется полного доступа к системной папке system32 нет ни у кого, а
кто формально дожен быть владельцем этой папки
система, админ, создатель-владелец...?

gecata
13-10-2011, 17:45
Насчет полного доступа не знаю. Но один файл я туда уже закинула - от своей админской учетки

vl1639
13-10-2011, 17:53
В реестре 2490 записей про eventlog, ключи в основном. Может какая и неверная, но как найти

gecata
13-10-2011, 18:37
тут чего? HKLM\SYSTEM\CurrentControlSet\Services\eventlog
У меня - вот
4106

vl1639
13-10-2011, 21:31
все строки в этом разделе совпадают. Но там еще куча подразделов.
Нет доступа - что это физически, как понять, кто и почему не пускает

Rustem
14-10-2011, 02:58
vl1639, попробуйте хряпнуть правой кнопкой на папке Windows и снять галку только чтение, если спросят для каких папок - скажите, что для всех вложенных. Еще проверьте права доступа к этой папке, у системы и администраторов должны быть особые права.Еще проверьте запущены ли службы, от которых зависит служба журнала событий.

gecata
14-10-2011, 11:15
Rustem
Вроде как, она ни от чего не зависит... У меня такое впечатление, что кто-то поработал над правами этой учетки и, может, политиками
vl1639
Ты вообще где эту винду взял? Лицензия, пиратка, сборка; с чего устанавливал (с диска, флешки); сам или нет?
Потому что журналы (а их, и правда, чего-то до фига, по сравнению с хрюшей) у меня, например, включены по умолчанию. Я потому и просила загянуть в реестр, что, наверняка там есть где-то параметр, запрещающий запуск журналов. Только вот где обычно должны быть запреты запуска служб - не знаю
Посмотри здесь - правда, это для более старых систем:
Ограничение доступа на просмотр журналов событий пользователям группы Guest:
HKLM\System\CurrentControlSet\Services\EventLog\System\RestrictGuessAccess
HKLM\System\CurrentControlSet\Services\EventLog\Security\RestrictGuessAccess
HKLM\System\CurrentControlSet\Services\EventLog\Application\RestrictGuessAccess
Создание ключей со значением 1 (REG_DWORD) ограничивает доступ к Журналу событий (EventLog).

И еще, если ты (даже будучи админом) входишь и в группу гостей, доступа к журналам при запрете просмотра журналов гостями не будет и у тебя

vl1639
14-10-2011, 12:21
Уточню - не запускается служба журнал событий и ничего нелья посмотреть. В то же время, зависящие от нее службу - планировщик и сборщик событий работают. Если посмотреть - системный монитор-группы сборщиков-сеансы отслеживания, то все eventlog-и работают, кроме Ait.
В реестре действительно все указанные ключи имеют значение 1, гостевых учеток нет, в группу гостей судя по просмотрам свойств папок - не вхожу.
По идее ограничение просмотра и ограничение запуска это разные вещи.
Вот еще просьба - у кого все работает, посмотрите, кто числится владельцем папок Windows, System32, LogFiles.

vl1639
14-10-2011, 14:08
Вот еще - большинство сборщиков собирает логи в папку system32/winevt -у меня там мегабайты логов,
а вот корневой папкой у всех числится с:\PerfLogs - у меня она пустая. Я не знаю что такое корневая, но может там должна быть какая-то запись, которую я вытер при очередной чистке компа, которых было не счесть.

gecata
14-10-2011, 14:55
4108 4109 4110 4111

gecata
14-10-2011, 14:57
4112 4113 4114 4115

gecata
14-10-2011, 14:58
4116 4117 4118 4119

Dmitry_S
14-10-2011, 15:00
gecata
Особые разрешения - очень ценная инфа :D

gecata
14-10-2011, 15:03
Dmitry_S
Просто показала, как права розданы у меня. А ценна или нет максимаально полная инфа - решать вопрошающему ;)

vl1639
14-10-2011, 15:09
Спасибо за сканы, я-то просил проще сделать, нажать на кнопку дополнительно, выбрать вкладку владелец и написать мне кто числится текущим владельцем.
Потому, что сейчас у меня везде владелец админ, чтоб удобней и легче было работать с 7-кой (по типу ХР). И уже забыл, кто там был изначально.
И если не трудно, что у Вас в папке PerfLogs

Dmitry_S
14-10-2011, 15:12
Просто показала, как права розданы у меня.
Ну так надо было тогда и показать эти особые права :)
Или он сам должен угадать из этого?
4120
А иначе польза от скрина нулевая

gecata
14-10-2011, 15:17
У винды и систем32 - трастед инсталлер, у логз - администраторы. И все они - это я!

Dmitry_S
Дим, спасибо! :)

vl1639
14-10-2011, 15:56
Еще раз спасибо. А в папке PerfLogs, кроме пустой папки Админ (или аналогичной) есть что-нибудь?

gecata
14-10-2011, 16:05
vl1639
Ну, я не знаю...
4122

vl1639
14-10-2011, 16:21
Если можно, проделайте следующее
Пуск-Администрирование-Системный монитор-Группы сборщиков-Сеансы отслеживания событий
На правой панели у сборщика Eventlog-Application правой кнопкой вызовите свойства и подождите
секунд 20-30 пока он их соберет.
На вкладке Папка вверху посмотрите как у Вас называется корневая папка.

vl1639
14-10-2011, 17:01
Всем спасибо!
Оказывается что папку в которой сборщики формируют логи (я ее упоминал выше) надо обеспечить полными правами пользователя Local Service
http://az-spb-ru.livejournal.com/25016.html
И журнал запустился.


Решено!

gecata
14-10-2011, 17:11
О как! Походу, пора узаконивать как отдельную отрасль знаний науку о правах в винде...