jca*_*pio 5 security windows windows-server-2008-r2
我知道状态代码0xc0000008意味着无效句柄。
您如何解决此问题(除了重新启动)?
确定此原因的最佳方法是什么?
Log Name: Security
Source: Security
Date: 5/22/2014 8:44:18 AM
Event ID: 521
Task Category: System Event
Level: Information
Keywords: Classic,Audit Success
User: SYSTEM
Computer: hostname
Description:
Unable to log events to security log:
Status code: 0xc0000008
Value of CrashOnAuditFail: 0
Number of failed audits: 51
小智 1
无效句柄意味着进程尝试打开文件但失败。在本例中,该文件可能是%SystemRoot%\System32\Winevt\Logs\Security.evtx安全事件日志文件。您需要开始调查该文件无法打开的原因。
首先创建一个新.evtx文件并检查覆盖事件日志设置。确保另一个进程(本地或远程)在抓取事件时没有保留它。确保您有足够的硬盘空间,实际上有空间可写入文件。检查底层硬件故障和/或文件系统损坏。
如果这不能排除某些看起来可能的原因,您将需要收集更多信息。如果您将 SysInteral 的 ProcMon 附加到 EventLog 进程,那么它在这里会很有用(有关如何执行此操作的示例,请参阅我的答案此处)。如果您仍然找不到任何看起来明显的原因,您最好的选择是访问 Microsoft 支持。