特定のイベントログに出力されたときに操作するパッチ

 

特定のイベントログに出力されたときに特定の操作をパッチで作ってみました。

 

ちなみにlodctr /rもあります。

※自己責任でお願いします。

 

※このパッチを出力時に実行させるにはWindows タスクスケジューラを利用する必要があります。

 

ダウンロードする→Event.7z

ファイルサイズ　956Byte(ディスク上のサイズ 4.00KB)

ディスクの空きは1GB必要です。空き領域が不足している場合は正常に動作しない可能性があります。

Windows Defenderによるスキャン済。

 

 

※解凍には7-Zipがおすすめです。標準のエクスプローラーは実装されていません。

 

 

 更新履歴

 V 0.01

 公開

 

 

 

 

 説明

 

 このパッチを実行されるのは次のイベントログです。

 

 

一部のイベントログは統一されます。

 usbperf\Performance キーの "First Counter" 値を読み取れません。ステータス コードはデータで戻されました。

 

 "TermService" サービスのパフォーマンス ライブラリ "C:\Windows\System32\perfts.dll" の構成情報が、レジストリに保存されている信頼されたパフォーマンス ライブラリの情報に一致しませんでした。このライブラリの関数は信頼されているものとして処理されません。

 

 サービス "MSDTC" (DLL "C:\WINDOWS\system32\msdtcuiu.DLL") の Open プロシージャに失敗しました。このサービスのパフォーマンス データは利用できません。データ セクションの最初の 4 バイト (DWORD) に、エラー コードが含まれています。

 

 サービス "Lsa" (DLL "C:\Windows\System32\Secur32.dll") の Open プロシージャに失敗しました。このサービスのパフォーマンス データは利用できません。データ セクションの最初の 4 バイト (DWORD) に、エラー コードが含まれています。

 

 サービス "ESENT" (DLL "C:\WINDOWS\system32\esentprf.dll") の Open プロシージャに失敗しました。このサービスのパフォーマンス データは利用できません。データ セクションの最初の 4 バイト (DWORD) に、エラー コードが含まれています。

 

 "ASP.NET_64_2.0.50727" サービスのパフォーマンス カウンター ライブラリで 1 つ以上のエラーが発生したため、このサービスのパフォーマンス カウンター データ コレクションがこのセッションで無効になっています。この操作を強制したエラーは、アプリケーションのイベント ログに書き込まれています。

 

 32 ビットの環境で 64 ビット拡張可能カウンター DLL ASP.NET_64_2.0.50727 を開くことができません。ファイルの製造元に連絡して 32 ビット バージョンを入手してください。または、64 ビットのネイティブ環境を実行している場合、パフォーマンス モニターの 64 ビット バージョンを使用して 64 ビット拡張可能カウンター DLL を開くこともできます。このツールを使用するには、Windows フォルダーを開き Syswow32 フォルダーを開いてから、Perfmon.exe を起動してください。

 

 サービス "WmiApRpl" (DLL "C:\WINDOWS\system32\wbem\wmiaprpl.dll") の Open プロシージャに失敗しました。このサービスのパフォーマンス データは利用できません。データ セクションの最初の 4 バイト (DWORD) に、エラー コードが含まれています。

 

サーバー サービス パフォーマンス オブジェクトを開けません。データ セクションの最初の 4 バイト (DWORD) に、状態コードが含まれています。

 

ここまでのイベントログはパッチ一つだけで処理します。

 

サービス UGatherer (_) のパフォーマンス カウンターの文字列をインストールできませんでした。エラー コードがデータ セクションの最初の DWORD に含まれています。

 

などは、ログイン後に実行したlodctr /rを失敗したものであり、別のパッチを用いて30秒間待機して再実行されるようにします。そうすれば問題が発生しません。

 

障害が発生しているアプリケーション名: DeviceProperties.exe、バージョン: 10.0.14393.0、タイム スタンプ: 0x57899bbb

障害が発生しているモジュール名: MSCTF.dll、バージョン: 10.0.14393.206、タイム スタンプ: 0x57daca25

例外コード: 0xc0000005

障害オフセット: 0x000000000002f102

障害が発生しているプロセス ID: 0x1ad0

障害が発生しているアプリケーションの開始時刻: 0x01d21f01c4968783

障害が発生しているアプリケーション パス: C:\Windows\System32\DeviceProperties.exe

障害が発生しているモジュール パス: C:\WINDOWS\System32\MSCTF.dll

レポート ID: 13c8956b-6fa4-4b3d-bce9-824243f28f2f

障害が発生しているパッケージの完全な名前:

障害が発生しているパッケージに関連するアプリケーション ID:

 

アプリケーションエラーが発生（上）したときにパッチによるコマンドプロンプトで表示させます。(Windows8以降ではダイアログ形式を設定ができなくなっています。)

 

HP Support Solutions Framework Service サービスは予期せぬ原因により終了しました。このサービスの強制終了は 1 回目です。

 

サービスが異常終了、強制終了が発生した時、パッチによるコマンドプロンプトでメッセージを表示します。

 

ボリューム シャドウ コピー サービス エラー: ルーチン Check OnIdentifyError の呼び出し中に予期しないエラーが発生しました。hr = 0x8007085a, ワークステーション サービスが開始されていません。

。

 

操作:

   PrepareForBackup イベント

 

コンテキスト:

   実行コンテキスト: ASR Writer

   実行コンテキスト: Writer

   ライター クラス ID: {be000cbe-11fe-4426-9c58-531aa6355fc4}

   ライター名: ASR Writer

   ライター インスタンス ID: {aa0cfdf6-0b98-4646-987c-0e0b01416be9}

 

エラー固有の詳細:

   ASR Writer: ワークステーション サービスが開始されていません。 (0x8007085A)

 

VSSによってボリュームシャドウコピーの作成に失敗したという旨のメッセージを出します。この場合はWorkstationサービスを開始すると直る事があります。(サービス管理コンソールが起動します。)

 

スナップショットの作成中に、ライター ASR Writer でエラーが発生しました。  詳細情報: ワークステーション サービスが開始されていません。 (0x8007085A)。

 

SPPエラー。スナップショットの作成に失敗したときにコマンドプロンプトでメッセージが表示されます。VSSの方と同じようにWorkstationサービスを開始してください。(サービス管理コンソールが起動します。)

 

 

実装されているのはこれで以上です。

 

 

 

 

 

実装予定

 

暗号化サービスで、システム ライター オブジェクトで OnIdentity() の呼び出しを処理中にエラーが発生しました。

 

Details:

AddLegacyDriverFiles: Unable to back up image of binary Microsoft Link-Layer Discovery Protocol.

 

System Error:

アクセスが拒否されました。

。

 

コマンドプロンプトでメッセージを出力。

 

 

ボリューム シャドウ コピー サービス エラー: ルーチン IVssAsrWriterBackup::GetDiskComponents の呼び出し中に予期しないエラーが発生しました。hr = 0x8007085a, ワークステーション サービスが開始されていません。

。

 

操作:

   OnIdentify イベント

   ライター データを収集しています

 

コンテキスト:

   実行コンテキスト: ASR Writer

   ライター クラス ID: {be000cbe-11fe-4426-9c58-531aa6355fc4}

   ライター名: ASR Writer

   ライター インスタンス ID: {aa0cfdf6-0b98-4646-987c-0e0b01416be9}

 

これも同様。

 

 

アプリケーション固有 のアクセス許可の設定では、CLSID

{D63B10C5-BB46-4990-A94F-E40B9D520160}

 および APPID

{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}

 の COM サーバー アプリケーションに対するローカルアクティブ化のアクセス許可を、アプリケーション コンテナー 利用不可 SID (利用不可) で実行中のアドレス LocalHost (LRPC 使用) のユーザー NT AUTHORITY\SYSTEM SID (S-1-5-18) に与えることはできません。このセキュリティ アクセス許可は、コンポーネント サービス管理ツールを使って変更できます。

 

これはメッセージ表示後にコンポーネント管理ツールの起動を促します。

 

 

ドライバーは \Device\Harddisk1\DR1 でコントローラー エラーを検出しました。

 

ディスクエラーが検出されたときにコマンドプロンプトでメッセージを表示します。

 

インストールの開始: 次の更新プログラムのインストールが開始されました: Windows Defender の定義の更新 – KB2267602 (定義 1.229.1175.0)

 

インストールの成功: 次の更新プログラムが正しくインストールされました: Windows Defender の定義の更新 – KB2267602 (定義 1.229.1175.0)

 

どちらもコマンドプロンプトでメッセージを表示されます。