Letztens bin ich in den Microsoft Answers-Foren wieder auf ein kurioses Problem gestoßen. Ein Anwender versuchte die Ereignisanzeige aufzurufen, erhielt aber die Meldung „Der Ereignisprotokolldienst ist nicht verfügbar. Überprüfen Sie ob der Dienst ausgeführt wird.“ Was kann man dann tun?
Den Dienst kontrollieren, aber wie?
Die Kontrolle der Dienste kann entweder im Task-Manager auf der Registerkarte Dienste oder im Dienste-Manager Dienste erfolgen. Zum Task-Manager gelangen Sie über das Kontextmenü (Aufruf per Rechtsklick) der Taskleiste. Hier sehen Sie die Diensteeinträge, die ich durch Anklicken der Spalte Name alphabetisch sortiert habe. Der Eintrag eventlog gehört zum Ereignisprotokoll. Per Kontextmenü können Sie den Dienst starten oder stoppen.
Zusätzlich gibt es noch einen Eintrag EventSystem, der für das Sammeln von Ereignissen zuständig ist – hier aber nicht betrachtet werden soll. Kontrollieren Sie im Task-Manager, ob der Dienst per Kontextmenü gestartet werden kann.
Analyse im Dienste-Manager
Typischerweise wird man Dienste aber nicht im Task-Manager sondern im Dienste-Manager kontrollieren. Hierzu geben Sie den Begriff Dienste im Suchfeld des Startmenüs ein und drücken die Tastenkombination Strg+Shift+Eingabe. Dann erscheint die Sicherheitsabfrage der Benutzerkontensteuerung und nach deren Freigabe startet das Programm Dienste mit administrativen Berechtigungen. Suchen Sie in der Diensteliste den Eintrag Windows-Ereignisprotokoll.
Per Kontextmenü lässt sich dann der Dienst starten, beenden, anhalten und fortsetzen. Über den Kontextmenübefehl Eigenschaften lassen sich z. B. Startoptionen und Abhängigkeiten abfragen.
Bei Problemen lässt sich u. U. herausfinden, warum der Dienst nicht startet.
Ich komme nicht weiter …
Falls man bei der Diagnose im Fenster Dienste nicht so richtig weiter kommt, der Dienst aber nicht startbar ist, empfiehlt sich als erstes eine Überprüfung der Systemdateien. Wie dies funktioniert, habe ich unter [3] beschrieben. Ergeben sich beschädigte Dateien, kann ggf. eine Reparaturinstallation per Inplace-Upgrade durchgeführt werden [4, 5]. Falls eine Windows 7 Installations-DVD fehlt, findet sich unter [6] eine Lösung.
Ergibt die Systemdateiprüfung keine Fehler, können u. U. auch fehlerhafte Zugriffsberechtigungen auf den Ordner:
C:\Windows\System32\winevt\Logs
bzw. dessen Dateien die Ursache sein. Kann ein Administrator über die Eigenschaften des Ordners auf der Registerkarte Sicherheit überprüfen [2]. Und unter [2] findet sich noch eine zweite (wahrscheinlichere) Ursache: Ein beschädigtes Verzeichnis RTBackup im Zweig:
C:\Windows\System32\LogFiles\WMI\RtBackup
oder falsche Zugriffsberechtigungen auf die Dateien und den Ordner. Unter [7, 8] finden sich ähnliche Beschreibungen. Hier empfiehlt es sich, den Ordner RTBackup umzubenennen. Windows 7 legt den Ordner dann neu an. Falls Sie Probleme beim Umbenennen des Ordners haben, unter [7, 8] finden sich Hinweise, wie sich Zugriffsberechtigungen anpassen und Umbenennungen vornehmen lassen.
Links:
1: Diskussion bei MS-Answers
2: Diskussion bei Dr. Windows
3: System auf beschädigte Systemdateien prüfen
4: Windows 7 Reparaturinstallation: Windows 7 Inplace Upgrade
5: Windows 7 Reparatur, Inplace Upgrade bei SP1
6: Download Windows 7 ISO mit integriertem SP1
7: Cannot start the Windows Event Log service: Error 4201
8: could not start the Windows Event Log service: Error 5
In meinem Fall meldete der Dienst beim Startversuch
„Fehler 3: Das System kann den angegebenen Pfad nicht finden“.
Beim „Abarbeiten“ der hier genannten Lösungsvorschläge stellte ich fest, dass der Ordner „C:\Windows\System32\winevt\Logs“ auf dem System gar nicht existerte. Nach manuellem Anlegen von „Logs“ konnte der Dienst wieder starten.