Warnung: Juni 2019 Updates killen Benutzerdefinierte Ansichten in der Ereignisanzeige
Kurze Information: Die Juni 2019 Updates für Windows verursachen Ärger mit der Ereignisanzeige, die ist danach kaputt. Betroffen sind faktisch alle Windows-Versionen. Es gibt aber Workarounds, wie man die Ereignisanzeige wieder zum Laufen bringt.
Die Ereignisanzeige stürzt dann jedes Mal beim Aufruf mit der nachfolgenden Fehlermeldung ab.
Man kann dann den Fehler zwar über ein Optionsfeld an Microsoft melden lassen. Danach wird der Event Viewer aber beendet. Wählt man dagegen das OptionsfeldSnap-In entfernen und MMC weiterhin ausführen, wird ein Fehlerdialog mit weiteren Informationen angezeigt. Die Informationen des Dump sind aber nicht wirklich aussagekräftig - mit Ausnahme, dass der Pfad zur XML-Konfigurationsdatei angezeigt wird, die für den Crash verantwortlich ist.
Der Fehlerhinweis besagt, dass der MMC nicht auf die Konfigurationsdatei 'View_....xml' zugreifen kann, wobei die Dateien durchnummeriert sind. Hintergrund ist, dass die Datei von einem anderen Prozess im Zugriff gehalten wird. Um die Ereignisanzeige überhaupt wieder zum Laufen zu bringen, bleibt nur, die Konfigurationsdatei 'View_0.xml' usw. zu löschen (dann sind die Einstellungen aber weg) oder in einen angelegten BAK-Unterordner zu verschieben. Auf diversen Webseiten wird vorgeschlagen, die .xml-Datei im Pfad 'C:\ProgramData\Microsoft\Event Viewer\Views\' zu löschen.
Ich hatte das Ganze gestern bereits im Blog dokumentiert, aber es gab Nutzerrückmeldungen, dass dies nicht immer hilft. Die Nacht habe ich das Ganze an einem Windows 10 Testsystem evaluiert. Windows 10 legt die Konfigurationsdateien für 'Benutzerdefinierte Ansichten' der Ereignisanzeige auch im Profilordner an. Man muss diese auch unter AppData in einen Backup-Unterordner verschieben.
C:\Users\<Konto>\AppData\Local\Microsoft\Event Viewer\Views\
Dann funktioniert die Ereignisanzeige wieder - aber man darf keine benutzerdefinierten Ereignisse mehr anlegen - sonst geht das Ganze wieder von vorne los.
Event Viewer may close or you may receive an error when using Custom Views
You may receive an error and the app may stop responding or close when trying to expand, view or create Custom Views in Event Viewer. You may also receive an error using Filter Current Log in the Action menu with built-in views or logs. Built-in views and other features of Event Viewer should work as expected.
Affected platforms:
Client: Windows 10, version 1903; Windows 10, version 1809; Windows 10 Enterprise LTSC 2019; Windows 10, version 1803; Windows 10, version 1709; Windows 10, version 1703; Windows 10, version 1607; Windows 10 Enterprise LTSC 2016; Windows 10 Enterprise LTSC 2015; Windows 8.1; Windows 7 SP1
Server: Windows Server 2019; Windows Server 2016; Windows Server 2012 R2; Windows Server 2012; Windows Server 2008 R2 SP1; Windows Server 2008 SP2
Next steps: We are working on a resolution and will provide an update in an upcoming release.
Per PowerShell sollen sich nutzerdefinierte Events aber noch auslesen lassen. Der Rundumschlag samt den betroffenen KB-Nummern findet sich hier:
Windows 7-10: Ereignisanzeige hängt nach Juni 2019-Update (KB4503293/KB4503327 etc.)
Ergänzung: Ich habe mir die Code-Fragmente von Microsoft mal vorgenommen und zu einem einfachen Ansatz ausgebaut, wie man sowohl die Ereignisanzeige als auch Einträge in 'Benutzerdefinierte Ansichten' nutzen könnte. Die Erläuterungen und PS-Scripte finden sich in folgendem Beitrag:
Tipp: PowerShell-Workarounds für Juni-Bug der Windows-Ereignisanzeige im Detail
Das Problem: Event Viewer stürzt eventuell ab
Wer die Updates vom Juni 2019 unter Windows installiert, kann anschließend die Ereignisanzeige nicht mehr verwendet werden, wenn 'Benutzerdefinierte Ansichten' definiert sind.Die Ereignisanzeige stürzt dann jedes Mal beim Aufruf mit der nachfolgenden Fehlermeldung ab.
Man kann dann den Fehler zwar über ein Optionsfeld an Microsoft melden lassen. Danach wird der Event Viewer aber beendet. Wählt man dagegen das OptionsfeldSnap-In entfernen und MMC weiterhin ausführen, wird ein Fehlerdialog mit weiteren Informationen angezeigt. Die Informationen des Dump sind aber nicht wirklich aussagekräftig - mit Ausnahme, dass der Pfad zur XML-Konfigurationsdatei angezeigt wird, die für den Crash verantwortlich ist.
Der Fehlerhinweis besagt, dass der MMC nicht auf die Konfigurationsdatei 'View_....xml' zugreifen kann, wobei die Dateien durchnummeriert sind. Hintergrund ist, dass die Datei von einem anderen Prozess im Zugriff gehalten wird. Um die Ereignisanzeige überhaupt wieder zum Laufen zu bringen, bleibt nur, die Konfigurationsdatei 'View_0.xml' usw. zu löschen (dann sind die Einstellungen aber weg) oder in einen angelegten BAK-Unterordner zu verschieben. Auf diversen Webseiten wird vorgeschlagen, die .xml-Datei im Pfad 'C:\ProgramData\Microsoft\Event Viewer\Views\' zu löschen.
Ich hatte das Ganze gestern bereits im Blog dokumentiert, aber es gab Nutzerrückmeldungen, dass dies nicht immer hilft. Die Nacht habe ich das Ganze an einem Windows 10 Testsystem evaluiert. Windows 10 legt die Konfigurationsdateien für 'Benutzerdefinierte Ansichten' der Ereignisanzeige auch im Profilordner an. Man muss diese auch unter AppData in einen Backup-Unterordner verschieben.
C:\Users\<Konto>\AppData\Local\Microsoft\Event Viewer\Views\
Dann funktioniert die Ereignisanzeige wieder - aber man darf keine benutzerdefinierten Ereignisse mehr anlegen - sonst geht das Ganze wieder von vorne los.
Microsoft hat das Problem die Nacht bestätigt
Der Fehler ist von Microsoft in den 'Known issues' für Windows 10 bestätigt.Event Viewer may close or you may receive an error when using Custom Views
You may receive an error and the app may stop responding or close when trying to expand, view or create Custom Views in Event Viewer. You may also receive an error using Filter Current Log in the Action menu with built-in views or logs. Built-in views and other features of Event Viewer should work as expected.
Affected platforms:
Client: Windows 10, version 1903; Windows 10, version 1809; Windows 10 Enterprise LTSC 2019; Windows 10, version 1803; Windows 10, version 1709; Windows 10, version 1703; Windows 10, version 1607; Windows 10 Enterprise LTSC 2016; Windows 10 Enterprise LTSC 2015; Windows 8.1; Windows 7 SP1
Server: Windows Server 2019; Windows Server 2016; Windows Server 2012 R2; Windows Server 2012; Windows Server 2008 R2 SP1; Windows Server 2008 SP2
Next steps: We are working on a resolution and will provide an update in an upcoming release.
Per PowerShell sollen sich nutzerdefinierte Events aber noch auslesen lassen. Der Rundumschlag samt den betroffenen KB-Nummern findet sich hier:
Windows 7-10: Ereignisanzeige hängt nach Juni 2019-Update (KB4503293/KB4503327 etc.)
Ergänzung: Ich habe mir die Code-Fragmente von Microsoft mal vorgenommen und zu einem einfachen Ansatz ausgebaut, wie man sowohl die Ereignisanzeige als auch Einträge in 'Benutzerdefinierte Ansichten' nutzen könnte. Die Erläuterungen und PS-Scripte finden sich in folgendem Beitrag:
Tipp: PowerShell-Workarounds für Juni-Bug der Windows-Ereignisanzeige im Detail
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 461745
Url: https://administrator.de/contentid/461745
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
3 Kommentare
Neuester Kommentar
Im Beitrag von @kgborn auf Heise de hat MS das Problem nun durch Updates der Updates gefixt:
https://www.heise.de/newsticker/meldung/Updates-beseitigen-Fehler-in-der ...
Danke an Günter
https://www.heise.de/newsticker/meldung/Updates-beseitigen-Fehler-in-der ...
Danke an Günter