Виправлення пошкоджених файлів EVTX (вирішені)

Оновлено квітень 2024: Припиніть отримувати повідомлення про помилки та сповільніть роботу системи за допомогою нашого інструмента оптимізації. Отримайте зараз на посилання

1. Завантажити та встановити інструмент для ремонту тут.
2. Нехай сканує ваш комп’ютер.
3. Тоді інструмент буде ремонт комп'ютера.

Зі збільшенням поширення останніх операційних систем Microsoft Windows, новий формат протоколу, новий формат файлу EVTX лог-файл. Належним чином збережені файли журналу EVTX можна легко відкрити у засобі перегляду подій Microsoft Windows або в сторонньому інструменті, наприклад, у програмі WhatsUp Event Analyst або WhatsUp Event Rover.

Однак пошкоджені та / або закриті файли EVTX є серйозною проблемою для адміністратора мережі або судового слідчого, який відповідає за перегляд їхнього вмісту. У деяких випадках, але не у всіх, переглядач Microsoft Event Viewer доступний у Windows Vista, а Windows Server 2008 може відкрити файл EVTX, отриманий з системи, яка вийшла з ладу, наприклад з комп'ютера, на якому було перенесено плагін для запуску судово-медичне розслідування.

Проте Microsoft Event Viewer намагається відновити елементи даних у файлі без запиту або підтвердження цієї дії користувачеві програми.

Файли журналу перегляду подій (Sysevent.evt, Appevent.evt, Secevent.evt) завжди використовуються системою, так що файли не можуть бути видалені або перейменовані. Службу EventLog не можна зупинити, оскільки вона потрібна для інших служб, тому файли завжди відкриті. У цій статті описується спосіб перейменування або переміщення цих файлів з метою усунення несправностей.

Усунення пошкодженого журналу подій Windows (файл EVTX)

Щоб відновити файл журналу подій, просто скопіюйте чотири поля плаваючого нижнього колонтитула у відповідне місце в заголовку, а потім встановіть байт стану файлу на рівне значення. Зберігайте, і все закінчено. Це так просто.

Оригінальним методом вирішення проблеми було наступне:

1. вимкнути службу відображення подій
2. перезавантажте сервер
3. Видалення файлу C: WINDOWS конфігурації32 SysEvent.evt.
4. відновити службу спостереження за подіями та переконатися, що файли журналів більше не пошкоджені.

На жаль, вищезазначений метод може не працювати з 2003 SP1, оскільки причиною проблеми є те, що мережева карта надсилає погано відформатоване повідомлення про подію в журнал подій. Щоб усунути проблему, змініть мережеву карту так, щоб вона працювала в повному дуплексному режимі. Потім повідомлення про пошкоджений системний журнал зникне.

Видалення пошкоджених файлів EVTX

Ти можеш видалити пошкоджений файл у будь-який час і дочекайтеся повторної появи помилки. З іншого боку, ви можете спробувати відновити пошкоджений файл EVTX або експортувати його як файл CSV, але для цього може знадобитися певні спеціальні знання. Є кілька інструментів, які дозволяють витягувати двійкові значення і отримувати доступ до пошкодженого файлу. Вам потрібен Python, який може бути проблемою для дезінформується користувача.

Таким чином, найкращий спосіб обробляти пошкоджені файли - це просто видалити їх і дозволити системі створювати нові журнали. Вони можуть бути видалені вручну, тому рекомендується використовувати пакетний файл (сценарій), щоб видалити їх усі.

Це завершує цю статтю. Якщо у вас виникли питання або інші способи відновлення даних з пошкоджених файлів журналу подій Windows, будь ласка, повідомте нам про це у розділі "Коментарі" нижче.

https://support.microsoft.com/en-us/help/172156/how-to-delete-corrupt-event-viewer-log-files

Порада експерта: Цей інструмент відновлення сканує репозиторії та замінює пошкоджені чи відсутні файли, якщо жоден із цих методів не спрацював. Він добре працює в більшості випадків, коли проблема пов’язана з пошкодженням системи. Цей інструмент також оптимізує вашу систему для максимальної продуктивності. Його можна завантажити за Натиснувши тут