有个系统错误事件不知道怎么解决

sishentibu

2个相关日志如下
[mw_shl_code=css,true]日志名称:          Application
来源:            ESENT
日期:            2015/9/11 19:32:04
事件 ID:         413
任务类别:          日志记录/恢复
级别:            错误
关键字:           经典
用户:            暂缺
描述:
SettingSyncHost (7532) 无法创建新的日志文件，因为数据库无法写入日志驱动器。该驱动器可能为只读、磁盘空间不足、配置错误或已损坏。错误 -1032。
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="ESENT" />
    <EventID Qualifiers="0">413</EventID>
    <Level>2</Level>
    <Task>3</Task>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2015-09-11T11:32:04.000000000Z" />
    <EventRecordID>16547</EventRecordID>
    <Channel>Application</Channel>
    <Computer>Moe-PC</Computer>
    <Security />
  </System>
  <EventData>
    <Data>SettingSyncHost</Data>
    <Data>7532</Data>
    <Data>
    </Data>
    <Data>-1032</Data>
  </EventData>
</Event>[/mw_shl_code]

[mw_shl_code=css,true]日志名称:          Application
来源:            ESENT
日期:            2015/9/11 19:32:04
事件 ID:         488
任务类别:          常规
级别:            错误
关键字:           经典
用户:            暂缺
描述:
SettingSyncHost (7532) 由于系统错误 5 (0x00000005):“拒绝访问。 ”，创建文件“C:\WINDOWS\system32\edbtmp.log”的尝试失败。创建文件操作将失败，并出现错误 -1032 (0xfffffbf8)。
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="ESENT" />
    <EventID Qualifiers="0">488</EventID>
    <Level>2</Level>
    <Task>1</Task>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2015-09-11T11:32:04.000000000Z" />
    <EventRecordID>16546</EventRecordID>
    <Channel>Application</Channel>
    <Computer>Moe-PC</Computer>
    <Security />
  </System>
  <EventData>
    <Data>SettingSyncHost</Data>
    <Data>7532</Data>
    <Data>
    </Data>
    <Data>C:\WINDOWS\system32\edbtmp.log</Data>
    <Data>-1032 (0xfffffbf8)</Data>
    <Data>5 (0x00000005)</Data>
    <Data>拒绝访问。 </Data>
  </EventData>
</Event>[/mw_shl_code]

这个地址可能是问题的解决方法。但我不知道怎么恢复“默认权限”
http://www.microsoft.com/technet ... c=ESE&LCID=2052

具体该怎么操作？@翼风Fly

翼风Fly

最后的链接打不开。。。

一、先根据http://www.eventid.net/的信息分析

ESENT的描述是：Microsoft Windows NT Server Database Storage Engine
数据库？

【问题1】http://www.eventid.net/display-e ... no-4808-phase-1.htm
给出的解决方法竟然要跳转到413+ESE上：
http://www.eventid.net/display-e ... no-4807-phase-1.htm
莫非你有SharePoint或Exchange ？

【问题2】http://www.eventid.net/display-e ... no-9346-phase-1.htm
又要跳。。。这次是在来自于 ESE98 的 ID 488 上：
http://www.eventid.net/display-e ... no-6563-phase-1.htm


二、普通信息搜索
关键词：SettingSyncHost
C:\WINDOWS\system32\edbtmp.log


先记载这些信息，帖子后续更新。。（可能要明天 )

sishentibu

翼风Fly 发表于 2015-9-11 22:26
最后的链接打不开。。。

一、先根据http://www.eventid.net/的信息分析

先附上链接图片。微软的太慢了，我都是搭梯子看的

ESENT的描述是：Microsoft Windows NT Server Database Storage Engine
数据库？

这个我怎么没看到？顺便吐槽句，它的评论默认隐藏的啊。当时一下就忽略过去了


另外我感觉我磁盘权限有点怪。是不是要装下虚拟机才能确定正确的是怎样的？

翼风Fly

sishentibu 发表于 2015-9-12 09:23
先附上链接图片。微软的太慢了，我都是搭梯子看的

那个地址需要梯子？微软也有被墙的？
就说截图（问题1）
根据错误来看，是1032类错误
不过问题1没说日志在哪，我就以问题2的地址来看了
C:\WINDOWS\system32\edbtmp.log
对该文件取消权限继承，仅保留Everyone权限，其他的权限全部删掉
若关掉杀软后正常，将日志入杀软白名单
实在不行就用Everything搜索*.log。。。。就是不知道是哪个了。。。

这个我怎么没看到？

第一行的资源名称链接就是：

Source: ESENT

它的评论默认隐藏的啊

好像是用户评论默认隐藏，但是解决方法的评论是显示的。问题是你截图的那个给了个跳转链接（就是我在楼上说的，跳来跳去）

另外我感觉我磁盘权限有点怪

如果上面说的去权限不行。。可能真的要动这个了吧。。。

是不是要装下虚拟机才能确定正确的是怎样的？

何意？



另：用文件解锁工具看看日志文件被谁占用

sishentibu

翼风Fly 发表于 2015-9-12 09:43
那个地址需要梯子？微软也有被墙的？
就说截图（问题1）
根据错误来看，是1032类错误

还是没找到nt什么的


只在这个路径下找到个，但是没有everyone权限

上面说的sharepiont我想到了我装的office2013.  exchange的话感觉是邮箱有关的？我是装了foxmail跟网易邮箱

翼风Fly

你上传的图看不到。。。测了一下都报404.。。可否重新上传？
everyone可以自己添加，并赋予所有权限；同时清除掉其他权限

话说。。。如果这个错误对你有影响的话可以忽略的。。。并不是所有的错误咱们都要处理。。。。系统分类下的错误就需要重视了。。。。

sishentibu

翼风Fly 发表于 2015-9-12 10:16
你上传的图看不到。。。测了一下都报404.。。可否重新上传？
everyone可以自己添加，并赋予所有权限 ...

貌似我这里显示也有问题。。。

翼风Fly

Source: ESENT

点一下 ESENT

先把那个文件改个名字看看？
改名之前，添加一个Everyone完全操作权限

sishentibu

翼风Fly 发表于 2015-9-12 12:09
点一下 ESENT

先把那个文件改个名字看看？

那个是system32文件夹，改成everyone完全控制是不是太嚣张了。。

翼风Fly

sishentibu 发表于 2015-9-12 13:48
那个是system32文件夹，改成everyone完全控制是不是太嚣张了。。

只是为了排除问题
如果Everyone完全控制报错解除。。。那就只能对权限动手脚了
如果解除占用后没问题，那也好知道怎么回事
话说在任务管理器看一下PID，1536是哪一个svchost