重新初始化Windows事件日志服务而不重新启动

Question

我正在处理记录到自定义事件日志的应用程序。应用程序最近被重新命名，事件日志的名称已经更改(从"CompanyA事件“更改为"CompanyB事件”)。事件日志源("Subsystem1“、"Subsystem2”等)的名称没有更改。应用程序安装程序从注册表中删除旧日志条目并写入新日志条目。

我注意到，在某些环境中(在2008年R2上经常发生)，日志记录停止，并且没有编写任何事件。有时事件实际上被写入旧的evtx文件，该文件应该被删除。以下是解决问题的方法：

• 重启机
• 重新启动"Windows事件日志“服务

使用SCM无法实现后一个操作，因为访问被拒绝，即使我是管理员。但是，终止进程是有效的，我可以启动"Windows事件日志“服务，之后事件日志正常工作。

问题：如何重新初始化事件日志服务而不终止进程或重新启动机器？是否有某种有文档或无文档的调用，我可以用来向事件日志服务发出信号，它应该重新读取它的配置？

Answer 1

为了记录在案，这是一个老问题:我也遇到了这个问题，Christo's comment让我走上了解决方案的道路：

• 使用psexec -s net stop schedule (所以，我用系统帐户停止了任务调度器服务)，
• 然后，我能够重新启动事件日志服务。
• 一旦重新启动，我就再次使用psexec -s net start schedule。干得真好。

您可能需要从Microsoft下载psexec。