Windows - Sérült naplófájlok javítása az Eseménynapló szolgáltatásban

A Windows NT-ben bevezetett Eseménynapló (Event Viewer) szolgáltatás megtalálható a Windows 2000/XP verziókban is. Az operációs rendszer működésével kapcsolatos lényegi információkat ezen keresztül közli a felhasználóval és ennek megfelelően kiemelkedő jelentőséget tulajdonít a működésének. De mint minden, az eseménynapló fájlok is sérülhetnek. Milyen következményekkel kell ilyenkor számolnunk? Hogy lehet elhárítani a hibát? Ezekre a kérdésekre adunk választ az alábbiakban.
Mi az Eseménynapló (Event Viewer)?
Az operációs rendszer és az elindított alkalmazások működésével kapcsolatos, hibakeresés szempontjából lényeges történéseket az Eseménynapló (Event Viewer) szolgáltatás naplófájlokba rögzíti. A bejegyzések tartalmaznak minden lényeges adatot: dátumot, időt, felhasználói nevet, alkalmazás nevet, eseményleírást, stb., ami a rendszergazdának segítséget nyújt a nyomkövetésben. Maga a szolgáltatás egy MMC konzolon jelenik meg a Felügyeleti eszközök > Eseménynapló (Administrative Tools > Event Viewer) helyen. Minden esemény egy kategóriába sorolható, a rendszerbe telepített szolgáltatások határozzák meg, hogy milyen kategóriák léteznek.
Windows 2000 Professional/XP munkaállomásokon:
"Alkalmazás" ("Application Log"), "Biztonság" ("Security Log"), Rendszer ("System Log").
Windows 2000 Server verziók/.NET Server verziók tartományvezérlőin:
"Alkalmazás" ("Application Log"), "Biztonság" ("Security Log"), Rendszer ("System Log"), "Directory Service", "DNS Server", "Fájlreplikációs szolgáltatás" ("File Replication Service").
Ezek mindegyike külön naplófájlt jelent a merevlemezen.
Hol találhatók a naplófájlok?
Alapértelmezésben a %systemroot%\system32\config\*.evt fájlokban. Nyissuk meg az Eseménynapló (Event Viewer) konzolt és kattintsunk az egyik naplófájlra a jobboldali egérgombbal. Lépjünk a "Tulajdonságok" ("Properties") menüre, a megjelenő ablak "Általános" ("General") oldalán a "Napló neve" ("Log name") mező tartalmazza a pontos nevet és elérési utat.
A fájlok szerkezetüket tekintve bináris felépítésűek, ezért szövegszerkesztővel nem olvashatók.
Milyen következményei vannak a naplófájl sérüléseknek?
Sérülést a naplófájlok is akkor szenvedhetnek, amikor egy másik fájl: vírustámadás esetén, rendellenes rendszer leálláskor (pl.: áramszünet), hibás merevlemez használatakor, stb. Következmények lehetnek:
  • Elvesznek az eddigi események.
  • Megszűnik a naplózás.
  • Szigorított biztonsági beállításokkal működő tartományvezérlőknél leáll az operációs rendszer.
Egyik sem elhanyagolandó szempont, de a harmadik eset jár a legsúlyosabb következményekkel. Lényeg, hogy a naplózásnak működnie kell.
Javítási módszerek
Vírus okozta károsodáskor a legelső feladat a vírus(ok) eltávolítása.
Fájlok fizikai sérülése esetén vagy lehet javítani őket, vagy nem. Ha nem, akkor törölni kell a tartalmukat vagy az egész fájlt. Mindhárom verzióra mutatunk példát:
Első, amivel próbálkozzunk a CHKDSK program. Indítsunk el egy parancssori ablakot és írjuk be:
chkdsk c: /f
A "c:" a rendszerkötet betűjele, ahol a naplófájlok találhatók, a /f elvégzi a szükséges javításokat. A programnak zárolnia kell a fájlrendszert és kizárólagos joggal kell hozzáférni. Rendszerköteten ez nem lehetséges, ezért felajánlja, hogy a legközelebbi rendszerindítás alkalmával fut le az ellenőrzés. Fogadjuk el és indítsuk újra a számítógépet. Ha lefutott a CHKDSK, elindul az operációs rendszer. Rögtön ellenőrizzük, hogy az eseménynaplóban megjelentek-e új bejegyzések. Ha igen, akkor sikerült a javítás.
Ha nem, akkor próbálkozzunk meg a naplófájlok tartalmának törlésével. Ehhez rendszergazdai jogosultságra lesz szükségünk. Kattintsunk a konzolban a napló nevére a jobboldali egérgombbal és lépjünk a "Tulajdonságok" ("Properties") menüre. Az "Általános" ("General") oldal alján kattintsunk a "Napló törlése" ("Clear Log") gombra. Kapunk egy kérdést, hogy szeretnénk-e menteni a bejegyzéseket. Válaszoljunk nemmel. Járjunk el ugyanígy a többi napló esetében is, amíg helyre nem áll a rend.
Utolsó lehetőségünk a sérült fájlok fizikai törlése. Próbáljuk meg a *.evt fájlokat törölni a %systemroot%\system32\config mappában (ha máshova helyeztük őket, akkor az új helyükön). Nem lesz sikerünk, mert a rendszer védelme alá esnek. Először le kell állítani az eseménynapló szolgáltatást. Nyissuk meg a Felügyeleti eszközök > Szolgáltatások (Administrative Tools > Services) konzolt. Keressük meg az "Eseménynapló" ("Event Log") szolgáltatást. Kattintsunk rá a jobboldali egérgombbal és azt tapasztaljuk, hogy az "Indítás" ("Start"), "Leállítás" ("Stop") menük le vannak tiltva. Akkor, hogy állítsuk le? Lépjünk a "Tulajdonságok" ("Properties") menüre és az "Indítás típusa" ("Startup type") legördülőmenüben válasszuk a "Letiltva" ("Disabled") lehetőséget, majd indítsuk újra a számítógépet. Immár törölhetjük a *.evt állományokat. Kapcsoljuk vissza a szolgáltatást az "Indítás típusa" ("Startup type") menüben válasszuk az "Automatikus" ("Automatic") bejegyzést és kattintsunk az "Alkalmaz" ("Apply") gombra (a számítógépet nem kell újraindítanunk). Rövid várakozás után újraindul a naplózás. A szolgáltatás észreveszi, hogy hiányoznak a naplófájlok, ezért szó nélkül létrehozza őket, helyreállítva a rendet.