8

我正在开发记录到自定义事件日志的应用程序。应用程序最近更名了,并且事件日志的名称已更改(从“CompanyA Events”到“CompanyB Events”)。事件日志源(“Subsystem1”、“Subsystem2”等)的名称没有改变。应用程序安装程序从注册表中删除旧的日志条目并写入新的。

我注意到,在某些环境中(在 2008 R2 上经常发生)日志记录会停止,并且不会写入任何事件。有时事件实际上被写入了应该被删除的旧 evtx 文件。以下修复了问题:

  • 重启机器
  • 重新启动“Windows 事件日志”服务

由于访问被拒绝,即使我是管理员,也无法使用 SCM 完成后面的操作。但是,终止进程有效,并且我可以启动“Windows 事件日志”服务,之后事件日志记录正常工作。

问题:如何在不杀死进程或重新启动机器的情况下重新初始化事件日志服务?是否有某种记录或未记录的调用,我可以用它来指示事件日志服务它应该重新读取其配置?

4

1 回答 1

10

仅作记录,因为这是一个老问题:我也遇到了这个问题,克里斯托的评论让我找到了解决方案:

  • 使用psexec -s net stop schedule(所以,我用系统帐户停止了任务计划程序服务),
  • 然后我能够重新启动事件日志服务。
  • 重新启动后,我再次使用psexec -s net start schedule。好样的。

您可能需要从 Microsoft 下载 psexec。

于 2016-01-29T12:20:57.640 回答