обнаружил сегодня, что не работает просмотр событий (в Управлении компьютером пишет "служба журнала событий недоступна"). Зашел в Службы, "Журнал событий Windows" не работала, хотя тип запуска стоит Авто. Попытался запустить ее сам - выдала такую ошибку
"Не удалось запустить службу Журнал событий Windows на Локальный компьютер. Ошибка 4201: переданное имя копии не было распознано поставщиком данных WMI как допустимое имя."
Подскажите, что это за ошибка и как все-таки запустить службу? Или где про это почитать можно

Столкнулся с аналогичной ситуацией. Прошу помощи.

simsim
Судя по поиску, многие страдают от той же проблемы.
Гугль (http://www.google.ru/search?hl=ru&q=%22The+instance+name+passed+was+not+recognized+as+valid+by+a+WMI+data+provider%22&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&lr=)
Микрософт (http://search.microsoft.com/results.aspx?q=%22The+instance+name+passed+was+not+recognized+as+valid+by+a+WMI+data+provider%22&qsc0=0&FORM=QBMH1&l=1&mkt=en-US&PageType=0)

Вот перспективная тема (http://forums.microsoft.com/technet/showpost.aspx?postid=1281154&siteid=17&sb=0&d=1&at=7&ft=11&tf=0&pageid=1).
Предлагается проверить разрешения и владельца папки %windir%\System32\Logfiles.
Там же описан второй способ (reset WMI).

Petya V4sechkin
Владелец папки и все разрешения определены. Результат отрицательный.

Уточнение - невозможно назначить (определить) владельца файла C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl

simsim
Как я уже сказал, там и второй способ описан (reset WMI).

Второй способ:

Try the following to reset your WMI:

This is a little different, and should only be tried if nothing else works.

1. Start the computer in Safe Mode without networking.
2. Open a command prompt as administrator
3. Type "net stop winmgmt" without quotes and press enter to make certain the wmi service is not running.
4. Go to the windows\system32\WBEM\ and rename the Repository folder.
5. Restart the system to normal mode.
6. Open a command prompt as administrator.
7. Type "net stop winmgmt" without quotes and press enter to stop the wmi service.
8. Type winmgmt /resetRepository and restart the system.
9. Test the event viewer.

При исполнении восьмого пункта получаю следующее:

Не удалось восстановить базу данных WMI в исходное состояние.
Код ошибки: 0х8007041В
Оборудование: Win32
Описание: Команда остановки была отправлена службе, от которой зависят другие приложения.


Какие должны быть дальнейшие действия?

simsim
Странно. А команда "net stop winmgmt" нормально отрабатывает? Останавливает службу?

Petya V4sechkin Команда отрабатывает нормально. Служба останавливается, удаётся переименовать папку Repository. После перезагрузки (пункт 5) папки Repository нет, но после пункта 8 она появляется.

simsim
А пункт 7 не пропустили? Когда второй раз надо останавливать службу?
UAC отключен?

P. S. Извините, что переспрашиваю, просто других идей у меня нет.

А пункт 7 не пропустили? Когда второй раз надо останавливать службу?
Не пропускал.
UAC отключен?
Нет.

simsim
Команда остановки была отправлена службе, от которой зависят другиеВот интересно, какую тогда службу оно пытается остановить (при том, что winmgmt мы уже тормознули). Очень досадно, что нельзя посмотреть это в журнале событий ;)
Может, попробовать постепенно отключать некритичные службы (предварительно запомнив их состояние, чтобы потом восстановить)?


невозможно назначить (определить) владельца файла C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etlМожет, проделать все операции по изменению владельца и разрешений на папку System32\LogFiles (и все вложенные объекты) в безопасном режиме, отключив службу winmgmt?

Очень досадно, что нельзя посмотреть это в журнале событий
Вот именно. Иногда оччччень хочется узнать чем это Виста занимается во-время притормаживания.
Может, проделать все операции по изменению владельца и разрешений на папку System32\LogFiles (и все вложенные объекты) в безопасном режиме, отключив службу winmgmt?
Пробовал. Ничего не получатся. Активировал и встроенного администратора. Результат отрицательный.
Неужели у всех работает журнал событий?

Просто в безопасном режиме переименуйте папку LogFiles в LogFiles.old

VancouverПросто в безопасном режиме переименуйте папку LogFiles в LogFiles.old
Результат - нет доступа к файлу C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl, в чём я и так был уверен. Перепроверка не помешала.

Petya V4sechkin Попробовал повторно перезагрузить WMI, предварительно отключив UAC. На этот раз база восстановилась нормально, но... по-прежнему журнал событий не запускается.
Просмотрев состояние Журнала событий в службах обнаружил, что служба "остановлена" Попытка запуска даёт ошибку 4201.
Обнаружено, что вход в систему этой службы настроен с учётной записью Local Service, а не с системной учётной записью. Изменить невозможно.
Исполняемый файл C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
В параметрах запуска пусто.
Где ещё что-то можно подправить?

P.S.Отзовитесь у кого работает служба Журнал событий.

У меня работает. Мне помогло переименование папки LogFiles.
Эта ошибка происходит когда Вы переназначаете права доступа к диску С:

Vancouver Вотэтот единственный файл EtwRTDiagLog.etl и не даёт переименовать папку. "У вас нет прав доступа на изменение атрибутов этого файла" Всё что я могу видеть на вкладке безопасность.

Вариант:
Открыть Свойства папки C:\Windows\System32\LogFiles - открой закладку Безопасности, и нажми кнопку "Дополнительно" открой вкладку Владелец, а затем нажми кнопку Изменить на Администратора (или пользователя). Во вкладке"Изменить владельца" поставь галку "заменить владельца на subcontainers и объектов" и нажимай кнопку "Продолжить" на все сообщения об ошибке, закрой все открытые окна.Перезагрузись.

VancouverВ том-то и дело, что владелец всех файлов в этой папке определён, за исключением вышеуказаного. Причём открывая вкладку безопасность любого файла, сразу открывается окно с перечнем групп и пользователей. А при открытии вкладки безопасность файла EtwRTDiagLog.etl сообщается "У вас нет разрешения на просмотр и изменение текущих разрешений для даного объекта. При нажатии "доолнительно" и попытке назначить владельца - "отказано в доступе". И в безопасном режиме аналогично.

Приведенный мною вариант, пременяется ко Всей Папке. Независимо от установленных разрешений для файлов находящихся внутри её.
И нажимай кнопку "Продолжить" на все сообщения об ошибке "У вас нет разрешения на просмотр и изменение текущих разрешений для даного объекта".

simsim
Интересно было бы посмотреть от имени SYSTEM разрешения (т. е. запустить какой-нибудь файловый менеджер от имени SYSTEM).
Это можно сделать с помощью планировщика заданий, например:
at 12:17 /interactive C:\Totalcmd\Totalcmd.exeНо терзают смутные сомнения, что планировщик заданий тоже не работает (как раз из-за журнала событий). Тогда можно зарегистрировать службу. Например, с помощью Instrsrv.exe + Srvany.exe (http://support.microsoft.com/kb/137890) или оболочки Any Service (http://www.winline.ru/xp/tune/1347.php) (не знаю, сработает ли оно на Висте, но почему бы и нет). А, еще PsExec (http://www.microsoft.com/rus/technet/sysinternals/utilities/psexec.mspx) есть.