Один из наших читателей столкнулся с проблемой, когда журнал событий Windows не запускался, и в результате произошел сбой нескольких других служб. Попытка запустить службу журнала событий Windows вручную через MMC служб привела к ошибке 4201. Полное сообщение об ошибке приведено ниже:if(typeof __ez_fad_position!=’undefined’){__ez_fad_position(‘div-gpt-ad-winhelponline_com-medrectangle-3-0′)};if(typeof __ez_fad_position!=’undefined’){__ez_fad_position(‘div-gpt-ad-winhelponline_com-box-3-0’)};
Windows не может запустить службу журнала событий Windows на локальном компьютере. Ошибка 4201: переданное имя экземпляра не было признано действительным поставщиком данных WMI.
И следующие ошибки выскакивали при открытии программы просмотра событий и планировщика задач.
Служба журнала событий недоступна. Убедитесь, что служба запущена. Служба планировщика заданий недоступна. Планировщик заданий попытается повторно подключиться к нему.
if(typeof __ez_fad_position!=’undefined’){__ez_fad_position(‘div-gpt-ad-winhelponline_com-large-leaderboard-2-0’)};
После проверки ключа реестра и значений службы журнала событий они не были повреждены. В конце концов, проблема оказалась в неправильных разрешениях для C: \ Windows \ System32 \ LogFiles \ WMI \ RtBackup каталог. В СИСТЕМА учетной записи требуются разрешения на полный доступ к каталогу — только тогда будет запущена служба журнала событий Windows. Обратите внимание, что мне не нужно было переименовывать или удалять RtBackup каталог.if(typeof __ez_fad_position!=’undefined’){__ez_fad_position(‘div-gpt-ad-winhelponline_com-box-4-0’)};
Решение для ошибки службы журнала событий 4201
Исправьте разрешения для папки RtBackup
- Запустите Windows в безопасном режиме.
- Открыть «C: \ Windows \ System32 \ LogFiles \ WMI» папка.
- Щелкните правой кнопкой мыши RtBackup папку и выберите Свойства.
- Перейдите на вкладку «Безопасность» и нажмите кнопку «Изменить».
- Щелкните Добавить.
- Тип СИСТЕМА и нажмите ОК.
- Включите разрешение «Полный доступ» на «Разрешить».
- Нажмите ОК, а затем нажмите Да, когда вас попросят подтвердить.
- Перезагрузите Windows (в обычном режиме) и проверьте, запущена ли служба событий Windows.
Не удается назначить разрешения для папки RtBackup?if(typeof __ez_fad_position!=’undefined’){__ez_fad_position(‘div-gpt-ad-winhelponline_com-banner-1-0’)};
Если вы не можете назначить разрешения для папки RtBackup, попробуйте стать владельцем папки, а затем повторите шаги 1–9, описанные выше.
- Remove From My Forums
-
Вопрос
-
Не работает журнал событий. При попытке открыть его появляется сообщение:
«Служба журнала событий недоступна. Убедитесь, что служба запущена.»
При попытке запустить службу появляется следующее сообщение:
«Не удалось запустить журнал событий на (имя сервера).Ошибка 4201: Переданное имя копии не было распознано
поставщиком данных WMI как допустимое имя.»переименование папки LogFiles проблему не решило
так же не запускается служба агента MS SQL, считаю что это из за журнала событий
Помогите, пожалуйста, разобраться в чем причина неработоспособности журнала событий. Спасибо
Ответы
-
Здравствуйте,
Попробуйте следующее решение:
— Use msconfig to switch to safe mode boot
— Boot to safe mode
— Run cmd.exe as an administrator
— Type “cd C:\Windows\System32\LogFiles\WMI”
— Type “rename RtBackup RtBackup2″
— Use msconfig to switch to normal mode boot
— Reboot
Best Regards, Andrei …
Microsoft Certified Professional-
Помечено в качестве ответа
4 января 2016 г. 9:00
-
Помечено в качестве ответа
Для того чтобы исправить ошибку 4201, возникающей при попытке запуска службы Журнал событий Windows (Windows Event Log проделайте следующие действия:
- Перезагрузитесь в безопасный режим с полным отключением всех служб (для этого воспользуйтесь утилитой msconfig)
- Откройте папку C:\Windows\System32\LogFiles\WMI
- Удалите подпапку RtBackup со всем его содержимым.
- Перезагрузитесь обратно в нормальный режим.
- Запустите службу Журнал событий Windows.
Примечание! Если необходимо, то задайте перед удалением для данной папки полные права. Иногда помогает сначала удаление файлов из папки, а затем самой папки.
- Remove From My Forums
-
Question
-
Got the Error code: 4201 when attempting to start the Windows Event Log.
I am almost certain that it has something to do with me changing ownership in the C:\ directory so that I could access C:\Documents\User\SendTo folder.
Answers
-
I figured it out.
I didn’t have the Permissions or the Auditing set correctly.
-
Marked as answer by
Nick FV
Wednesday, June 10, 2009 5:04 AM
-
Marked as answer by
All replies
-
I forgot to mention that in trying to delete some .jpg files in the Windows\Web directory I wound up taking ownership of the subfolders in order to successfully delete them.
I can’t think of anything else that could have resulted in that Event Log/WMI error. All I have installed is Win 7 x64, the regular Windows Updates and some other recommended updates (drivers for my VGA, NIC, HID, TV tuner…I think that’s it). All were done via the Windows Update program.
I don’t think it was any of the many settings that I made via the MMC/Local Computer Policy. Most of the changes were for Internet Explorer. Made some minor settings for Windows Explorer, Windows Installer, Windows Messenger, etc…
Any advice would be greatly appreciated.
-
I figured it out.
I didn’t have the Permissions or the Auditing set correctly.
-
Marked as answer by
Nick FV
Wednesday, June 10, 2009 5:04 AM
-
Marked as answer by
-
Can you clarify what exactly you did to solve this? Where did you not have Permissions and Auditing set correctly? How did you set them?
I’m having the same problem. Thanks in advance.
-
Ya, I’m having the same thing happen. Just started after running the final release of Win 7 now for about 6 weeks. I had also changed permissions to get some things to work so that could be it. Could you give some direction on what you did to rectify?
-
I know this is an old thread but it took me weeks to find my solution to starting the EventLog service with the same error message, here goes:
The renaming or deleting or changing the permissions of RtBackup did not fix this error for me,, after many weeks of testing and poking I found my solution , and I hope it helps others who haven’t found a fix
yet.- Open the Registry and Navigate to:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\AutoLogger\
- Under this key are 3 EventLog- keys, each one has a DWORD(32) value called LogFileMode, if these aren’t set correctly it causes the EventLog to fail to start with the 4201 Error. Here are the correct settings for each key…
\EventLog-Application\LogFileMode — value should be 11000180 (Hex)
\EventLog-Security\LogFileMode — value should be 100001c0 (Hex)
\EventLog-System\LogFileMode — value should be 10000180 (Hex)Now reboot the PC and see if the eventlog service now starts
Good Luck
-
Could you explain a little further how you solved it ?
Because I am experiencing the same error message.
Luis Olías.
-
This post just saved my day!
Thank you.
-
I had the same issue on my Windows 10 machine. Tried to rename RtBackup
folder but always failed with error saying another program is using file in the folder.I checked the registry key [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System], unlike the [EventLog-Application] and [Eventlog-Security], there was no registry values under [EventLog-System] root path.
So I exported the key values from another Windows 10 machine and imported it, then after reboot.Ta-Dah!!!
Here the registry values I used to fix the problem. It might not work for you so make sure you back up original registry key before importing it.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System]
«Start»=dword:00000001
«BufferSize»=dword:00000040
«MinimumBuffers»=dword:00000000
«MaximumBuffers»=dword:00000010
«FlushTimer»=dword:00000001
«Age»=dword:00000001
«LogFileMode»=dword:10000180
«ClockType»=dword:00000002
«Guid»=»{fa5ae656-8e4a-ac95-0980-4eb8342436d8}»
«OwningChannel»=»System»
«Status»=dword:00000000— Frank Tao
-
One of the possible SOLUTIONs, and the most simple is:
hlm\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Application\Start 0 -> 1.
hlm\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Security\Start 0 -> 1.
hlm\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System\Start 0 -> 1.
You can provoke this error and solve it by changing Start 0 <-> 1 as many times as you like.
tip — EventLog-Security\Start — is not required like other two, and without it eventViewer will be partially enabled. Event viewer will work, but will report that component EventLog-Security
can not be recognized by wmi 4201.The CAUSE — After looking Performance Monitor, i have noticed that some events are being recorded realtime. [Data Collector Sets\Event Trace Sessions]. Why would I want these events to be recorded and my computer slowed down ? So
i have disabled them, and that has changed the above Start values.other things — that rtBackup folder is just buffer for realTime events that are being collected. If you look at Performance Monitor data can be collected in 4 different modes: [file, realTime, file and realTime, buffered].
Event trace sessions: EventLog-Application, EventLog-System are realTime.-
Edited by
Marko279
Saturday, December 7, 2019 4:45 PM -
Proposed as answer by
Marko279
Saturday, December 7, 2019 4:55 PM
-
Edited by
Исправление ошибки 4201, возникающей при попытке запуска службы Журнал событий Windows (Windows Event Log).
1) В соответствии с разрядностью Вашего Windows скачайте и установите программу Unlocer
2) В проводнике откройте папку C:\Windows\System32\LogFiles\WMI
3) Нажмите правой кнопкой на папке RtBackup и в контекстном меню выберите пункт Unlocker.
4) В ниспадающем списке выберите пункт Удалить и нажмите на кнопку Разблокировать Все
5) Перезагрузите компьютер
6) Запустите службу Журнал событий Windows.
или
1) Перезагрузитесь в безопасный режим с полным отключением всех служб (для этого воспользуйтесь утилитой msconfig)
2) Откройте папку C:\Windows\System32\LogFiles\WMI
3) Удалите подпапку RtBackup со всем его содержимым.
Если необходимо, то задайте перед удалением для данной папки полные права. Иногда помогает сначала удаление файлов из папки, а затем самой папки.
4) Перезагрузитесь обратно в нормальный режим.
5) Запустите службу Журнал событий Windows.