Windows 7-10: Ereignisanzeige hängt nach Juni 2019-Update (KB4503293/KB4503327 etc.)

[English]Benutzer von Windows 7 bis Windows 10 sowie diverser Server-Versionen stellen nach der Installation der kumulativen Juni 2019 Updates (z.B. KB4503293/KB4503327) eventuell fest, dass die Ereignisanzeige nicht mehr funktioniert, wenn der Zweig Benutzerdefinierte Ansichten angewählt wird. Es gibt dann eine Fehlermeldung. Es gibt einen einfachen Workaround, um bis zum Bugfix weiter mit der Ereignisanzeige arbeiten zu können. Ergänzung: Der Beitrag wurde (nachdem ich den Fehler reproduzieren konnte) grundlegend überarbeitet und ergänzt (er betrifft wohl faktisch alle Windows-Versionen). Zudem hat Microsoft den Fehler bestätigt.


Anzeige

Das Ganze betrifft aktuell wohl nur die Windows 10 Versionen V1903 (Update KB4503293) und V1809 (Update KB4503327). Danke an Matthias für den Hinweis (und auch an Max für den Kommentar hier). Ergänzung: Der ursprünglich für Windows 10 V1903 und V1809 berichtete Fehler existiert für praktisch alle Windows 10-Versionen sowie für Windows 7 SP1 und auch diverse Windows Server-Editionen (2012 R2, 2016 etc.).

Das Fehlerbild im Detail

Wird die Ereignisanzeige aufgerufen und der Zweig Benutzerdefinierte Ansichten angewählt (siehe folgende Abbildung, die ich unter Windows 7 SP1 angefertigt habe), bleibt die Anzeige mit einer Fehlermeldung hängen.

Benutzerdefinierte Ansichten in der Ereignisanzeige

Anmerkung: Ich habe es bei mir mal unter Windows 10 nachvollzogen. Der Fehler trat erst auf, nachdem ich definitiv eine eigene Benutzerdefinierte Ansicht erstellt hatte. Danach halfen auch die Workarounds nicht. Manchmal stürzte die Ereignisanzeige sofort nach dem Aufruf ab, manchmal nach dem Zugriff auf den Zweig Benutzerdefinierte Ansichten.

Es wird dann ein Dialogfeld mit dem Hinweis 'Ein Fehler wurde in einem Snap-In festgestellt und das Snap-in wird entfernt' angezeigt.


Anzeige

Event Viewer: Fehler in Snap-In

Wählt man das Optionsfeld Snap-In entfernen und MMC weiterhin ausführen, wird ein Fehlerdialog mit weiteren Informationen angezeigt.

Ausnahmefehler im Snap-in

Der Fehlertext ist in obigem Screenshot abgeschnitten und ich konnte das Fenster nicht vergrößern. Die Kollegen bei deskmodder.de haben in diesem Blog-Beitrag den Fehler aber beschrieben. Dort findet sich noch der Hinweis, dass die Angabe "Der Prozess kann nicht auf die Datei "C:\ProgramData\Microsoft\Event Viewer\Views\View_0.xml" zugreifen, da sie von einem anderen Prozess verwendet wird." in diesem Zusammenhang angezeigt werde.

Anmerkung: Nachdem ich den Fehler bei mir nachstellen konnte, musste ich feststellen, dass dies nicht das 'Ende der Fahnenstange ist'. Es gibt auch die Meldung "Der Prozess kann nicht auf die Datei "C:\Users\MSKonto\AppData\Local\Microsoft\Event Viewer\Views\View_0.xml" zugreifen, da sie von einem anderen Prozess verwendet wird.", wenn ´die XML-Dateien in C:\ProgramData gelöscht werden – dazu später mehr.

Klickt man dann auf OK, wird das Dialogfeld geschlossen und die Ereignisanzeige wird die Details in der rechten Spalte anzeigen.

Snap-In nicht verfügbar - Fehlerdetails
(Zum Vergrößern klicken)

Ab diesem Zeitpunkt kann man nicht mehr mit der Ereignisanzeige arbeiten, wie ich bei einem Versuch feststellen musste.

Anmerkung: Mit hat beim Nachstellen des Fehlers ein alter Microsoft KB-Artikel weitergeholfen – wenn dieser auch beim aktuellen Bug nicht weiter hilft. Ein solcher Fehler deutet meist auf kaputte Dateien hin. Mark Heitbrink gibt hier den Tipp, den MMC Cache in %appdata%\Microsoft\MMC zu leeren. Das wird im aktuellen Fall aber nicht helfen, da der Bug in Windows steckt und durch ein Update getriggert wurde. Die Dateien sind ja auch nicht kaputt, sondern durch einen weiteren Prozess im Zugriff. Ich habe weiter unten noch eine mögliche Ursache benannt.

Benutzerdefinierte Ansicht erstellen

Falls jemand das selbst zum Testen nachstellen möchte, muss er eine eigene Benutzerdefinierte Ansicht erstellen. Ich hatte eine vordefinierte Ansicht 'Administrative Ereignisse', die den Fehler nicht zeigte.


(Zum Vergrößern klicken)

Dazu Benutzerdefinierte Ansichten in der linken Spalte per Rechtsklick anwählen und dann den Kontextmenübefehl Benutzerdefinierte Ansicht erstellen wählen. Dann im Dialogfeld ein Kontrollkästchen in der Gruppe Eigenschaften markieren und unter Per Protokoll im Listenfeld das Kontrollkästchen einer Option markieren. Auf OK-Klicken und im Folgedialogfeld (siehe unten) einen Namen für den Eintrag festlegen und per OK bestätigen.

Achtung: Im Dialogfeld Filter in benutzerdefinierte Ansicht speichern gibt es unten rechts ein Kontrollkästchen Alle Benutzer. Läuft der MMC.exe mit administrativen Berechtigungen, lässt sich das Kontrollkästchen markieren und die Konfiguration der Ansicht wird in ProgramData gespeichert. Bei Standard-Benutzerkonten ist das Kontrollkästchen unmarkiert und ausgegraut. Dann speichert MMC.exe die Konfigurierung im Nutzerprofil unter AppData. Das wird in nachfolgendem Workaround relevant, wo es um die Pfade zur View_…xml-Datei geht (siehe auch den Kommentar weiter unten).

Ereignisanzeige Fehler im Snap-In
(Zum Vergrößern klicken)

Dann erscheint sofort der Fehlerdialog und die Ereignisanzeige ist nicht mehr verwendbar.

Ein (temporärer) Workaround

Die Lösung, die die Kollegen von deskmodder.de vorschlagen, ist, im Explorer zu folgendem Ordner navigieren:

C:\ProgramData\Microsoft\Event Viewer\Views\

Dort sollte eine Datei View_0.xml oder mit einer anderen fortlaufenden Nummer zu finden sein. Die Zahl hängt von der Anzahl der definierten benutzerdefinierten Ansichten ab. Die Frage, ob die Datei im Pfad zu finden ist, hängt auch davon ab, ob die benutzerdefinierte Ansicht für alle Benutzer oder nicht erstellt wurde (siehe obige Anmerkung).

 Datei View_0.xml

Diese Datei ist nach dem Vorschlag der Kollegen von deskmodder.de zu löschen (erfordert Administratoren-Berechtigungen).

Anmerkung: In den View_x.xml-Dateien speichert die Ereignisanzeige die Konfiguration der benutzerdefinierten Ansicht. Löscht man die XML-Datei, sind natürlich die betreffenden Konfigurationen verloren. In obigem Screenshot habe ich daher den Unterordner Bak angelegt. Dann lassen sich die XML-Dateien in diesen Ordner verschieben, bis Microsoft einen Fix bringt.

Im Anschluss sollte die MMC.exe bzw. die Ereignisanzeige beim nächsten Start wieder funktionieren. Allerdings gibt es dabei noch zwei Probleme:

  • Definiert man eine neue benutzerdefinierte Ansicht, wie weiter oben skizziert, wird der Event Viewer die View_0.xml neu anlegen und die Ereignisanzeige stürzt erneut ab.
  • In den nachfolgenden Kommentaren haben Benutzer berichtet, dass der obige Workaround nicht geholfen habe und die Abstütze weiter passieren.

Für das erste Problem gibt es eine einfache Lösung: Der Zweig Benutzerdefinierte Ansichten darf keine selbst definierten Einträge aufweisen. Belasst die gesicherten XML-Dateien im BAK-Unterordner, bis Microsoft das Ganze fixt. Für das zweite Problem, dass die Ereignisanzeige weiterhin abstützt, habe ich eine Lösung.

Wenn die Ereignisanzeige weiterhin abstürzt

Ich hatte in meiner Testumgebung das in den nachfolgenden Kommentaren beschriebene Problem, dass trotz gelöschter View_0.xml in 'C:\ProgramData\Microsoft\Event Viewer\Views\' die Ereignisanzeige weiterhin abstürzt. Es gibt noch einen zweiten Parallelordner Windows-Protokolle mit XML-Dateien.

Ordner Windows-Protokolle

Ich habe mal versuchsweise diese XML-Dateien in einen BAK-Unterordner verschoben – hat aber nichts gebracht. Durch Analyse des Fehlers habe ich dann herausgefunden, dass die Ereignisanzeige neuerdings die Datei View_0.xml neben:

C:\ProgramData\Microsoft\Event Viewer\Views\

auch im Profil unter:

C:\Users\<Konto>\AppData\Local\Microsoft\Event Viewer\Views\

ablegt. Die Erklärung, wann was wo abgelegt wird, findet sich in der Anmerkung weiter oben. Also muss man in seinen Profilordner gehen und dort die .XML-Dateien ebenfalls in einen BAK-Ordner verschieben.

Event Viewer file View_0.xml in Profile

Danach funktionierte zumindest bei mir die Ereignisanzeige wieder. Hilft vielleicht den Betroffenen, die mit obigem Workaround nicht weiter kamen. Ich habe an dieser Stelle die Fehleranalyse abgebrochen, da man als Nutzer keine Eingriffsmöglichkeit hat.

Anmerkung: Es gibt zwar hier einen Hinweis auf Treiber, und bei Microsoft findet sich ein Blog-Beitrag, der sich mit der Auswertung von Memory-Dumps zur Fehlereingrenzung befasst. Das wird aber nicht weiter führen. Wir müssen auf einen Fix von Microsoft warten.

Der Fehler ist durch Microsoft bestätigt

Bei askwoody.com habe ich den Hinweis gefunden Das Microsoft den Fehler bestätigt hat. Dort findet sich folgender Text:

Event Viewer may close or you may receive an error when using Custom Views

You may receive an error and the app may stop responding or close when trying to expand, view or create Custom Views in Event Viewer. You may also receive an error using Filter Current Log in the Action menu with built-in views or logs. Built-in views and other features of Event Viewer should work as expected.

Affected platforms:

  • Client: Windows 10, version 1903; Windows 10, version 1809; Windows 10 Enterprise LTSC 2019; Windows 10, version 1803; Windows 10, version 1709; Windows 10, version 1703; Windows 10, version 1607; Windows 10 Enterprise LTSC 2016; Windows 10 Enterprise LTSC 2015; Windows 8.1; Windows 7 SP1
  • Server: Windows Server 2019; Windows Server 2016; Windows Server 2012 R2; Windows Server 2012; Windows Server 2008 R2 SP1; Windows Server 2008 SP2

Next steps: We are working on a resolution and will provide an update in an upcoming release.

Eine Lösung ist für Ende Juni 2019 von Microsoft angedacht – falls nichts dazwischen kommt.

Benutzerdefinierte Ansichten per PowerShell auslesen

An dieser Stelle noch ein Tipp: Die Kollegen bei Bleeping Computer haben das Thema in diesem Artikel angesprochen. In einem Nachtrag wird auf einen Workaround von Microsoft verwiesen, mit dem sich benutzerdefinierte Ansichten per PowerShell auslesen lassen. Allerdings ist das PowerShell-Fragment so nicht wirklich brauchbar, wenn man sich nicht mit dem Zeugs auskennt (ich stand zuerst wie der Ochs vorm Berg).

Daher habe ich mir das Ganze mal näher vorgenommen und dazu einen separaten Blog-Beitrag Tipp: PowerShell-Workarounds für Juni-Bug der Windows-Ereignisanzeige im Detail verfasst. Die früher hier enthaltenen Hinweise wurden in den verlinkten Beitrag verlagert. Über diesen Beitrag lassen sich auch zwei von mir modifizierte Beispiel-PowerShell-Scripte abrufen, um lokal oder global definierte Benutzerdefinierte Ansichten abzurufen. Das ist eine Notlösung, bis Microsoft Ende Juni 2019 einen Bug-Fix herausbringt.

Diese Updates sind betroffen

Microsoft hat das Ganze inzwischen in diesem Support-Beitrag thematisiert. Betroffen sind folgende Updates:

  • KB4503293 LCU for Windows 10, version 1903.
  • KB4503327 LCU for Windows 10, version 1809 and Windows Server 2019.
  • KB4503286 LCU for Windows 10, version 1803.
  • KB4503284 LCU for Windows 10, version 1709.
  • KB4503279 LCU for Windows 10, version 1703.
  • KB4503267 LCU for Windows 10, version 1607 and Windows Server 2016.
  • KB4503291 LCU for Windows 10, version 1507.
  • KB4503276 Monthly Rollup for Windows 8.1 and Windows Server 2012 R2.
  • KB4503290 Security-only update for Windows 8.1 and Windows Server 2012 R2.
  • KB4503285 Monthly Rollup for Windows Server 2012 and Windows Embedded 8 Standard
  • KB4503263 Security-only update for Windows Server 2012 and Windows Embedded 8 Standard-
  • KB4503292 Monthly Rollup for Windows 7 SP1 and Windows Server 2008 R2 SP1
  • KB4503269 Security-only update for Windows 7 SP1 and Windows Server 2008 R2 SP1
  • KB4503273 Monthly Rollup for Windows Server 2008 SP2
  • KB4503287 Security-only update for Windows Server 2008 SP2

Ein Hinweis auf eine mögliche Ursache?

Ich habe mir einfach mal die Eigenschaften der .XML-Datei angeschaut und festgestellt, dass auf meinem Testsystem Office 2019 als Handler für diesen Dateityp angegeben ist. Wäre interessant, ob bei euch auch Office-Handler eingetragen sind.

Office-XML-Handler


Anzeige

Dieser Beitrag wurde unter Problemlösung, Windows 10 abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

52 Antworten zu Windows 7-10: Ereignisanzeige hängt nach Juni 2019-Update (KB4503293/KB4503327 etc.)

  1. christian sagt:

    Hallo Günter,

    und vielen Dank für den Tipp.
    Bei meinem PC waren es 3 Dateien, die gelöscht werden mussten:
    View_0.xml
    View_1.xml
    View_2.xml

    Danach funktioniert alles wieder wie gewünscht.

    Servus aus Niederbayern
    christian

  2. Matthias Gutowsky sagt:

    Hallo! Das betrifft auch Server 2012 R2 (selbst betroffen) und möglicherweise auch andere Versionen.

  3. Sven D. sagt:

    Hallo, bei uns betraf es den Exchange 2016 Server unter Windows Server 2012 R2 und dort die Datei "msexchangerepl_events.xml". Nachdem ich die Datei umbenannt, und eine leere Datei mit dem gleichen Namen erstellt hatte, lief die Ereignisanzeige auch wieder fehlerfrei.

    Gruß aus dem Osten

  4. Martin sagt:

    Hallo,

    vielen Dank, betroffen ist auch KB4503286 der Version 1803 und Lösung hilft, vielen Dank

    Martin

  5. J Netz sagt:

    Bestätigtes Problem bei Testservern 2012R2 und 2008R2

  6. wolf49 sagt:

    Sicher ist das Löschen der Datei View_0.xml eine Lösung, damit der eventviewer überhaupt wieder läuft.
    Allerdings läßt sich danach ebenfalls keine benutzerdefinierte Ansicht mehr erstellen, da ja dann wieder die besagte Fehlersituation mit der neu erstellten Datei View_0.xml (welche die benutzerdefinierten Ansichten enthält) entsteht, denn der vermeintliche Fehler, wonach diese Datei "von einem anderen Prozess verwendet wird" bleibt ja bestehen!

    Wolfgang

  7. Karin sagt:

    Leider hat der Tip auch bei mir nicht geklappt. Habe versucht mehrere View -xml
    zu löschen, Fehlermeldung besteht weiter.
    Hat noch jemand einen Tip?

    Karin

    • Ingolf sagt:

      Ansich sollte es ausreichen unter "C:\ProgramData\Microsoft\Event Viewer\Views\" die View_0.xml-Dateien (Wer sie brauch, sollte sie eventuell vorher sichern) alle zu löschen. Anstelle der "0" stehen dann entsprechende zahlen

      Die Ereignisanzeige sollte normal funktionieren, solange keine benutzerdefinierten Ansichten ausgewählt werden.
      Nur sobald "benutzerdefinierte Ansichten" genutzt werden sollen, erscheint der Fehler.
      Es bringt daher nichts, neue benutzerdefinierte Ansichten zu erstellen. Das Problem erscheint dann erneut.
      Somit kann man derzeit die Ereignisanzeige nur OHNE eigene definierte Ansichten nutzen.

    • Günter Born sagt:

      @Karin: Beachte meine Ergänzungen – die XML-Datei gibt es auch im Profilordner (wird in den diversen Artikeln, die inzwischen im Web erschienen sind, nicht angegeben).

  8. volker01 sagt:

    Stimme Ingolf zu,
    eigene benutzerdefinierte Ansichten gehen nicht mehr,
    nur noch die Builtin Administrativen …
    Das löschender Dateien hilft nur das die mmc nicht abstürzt.
    Wenn man neue eigene Ansichten anlegt erscheint der Fehler wieder.

    Es regt mich dermaßen auf, wir sind doch nur noch der verlängerte Arm der Fa. Microsoft um deren Fehler auszubügeln.
    Da richte ich mir das Windows ein, um mir die Sichtung wichtiger Windows Fehler zu verreinfachen, bzw. mir die Administration zu vereinfachen, Sicherungs-Ergebnisse zu sichten, etc.
    Jetzt gehts das auch nicht mehr und wer weiß wie lange es dauert bis das von MS gefixt wird. Das fixen der kaputten Shutdown-Scripts hat auch ewig gedauert.
    Was hat mich dieses Windows 10 schon Zeit und Nerven gekostet.
    Sind da nur noch Anfänger am Werk ???
    Hauptsache ihre Cloud-Marketing-Maschine läuft….

  9. volker01 sagt:

    Nachtrag: Das betrifft auch 1803.

  10. S.Ö sagt:

    Danke :) Hatz super funktioniert….

  11. Alitai sagt:

    Es hilft leider auch nichts wenn man die "benutzerdefinierte Ansichten" vor dem Update löscht oder gar keine gehabt hat, der Fehler kommt trotzdem.

    Bug and MS must fix it.

  12. Dekre sagt:

    Unabhängig von diesem Fall, der durch die neuen MS-Updates verursacht ist. = Ich erinnere mich, dass ich das öfters hatte. Das war dann wie von Geisterhand wieder weg.
    Ich habe jetzt auf "Diesen Fehler Microsoft melden …" geklickt und warte jetzt mal ab, was passiert.
    Die gesamte Anzeige funktioniert nicht, nicht nur die benutzerdefinierte Ansicht.

    Ich bastele da erst einmal nicht rum. Denn eine endgültige Lösung ist das ja alles auch nicht.

    Frage:
    Günter, Du hast mal was zur Ereignisanzeige geschrieben mit Cache-Löschung und Hochsetzen des Speichers für die Anzeigen. Ich suche das schon seit einer Weile (da auch PC mit Win 7 pro 64 bit neu installiert) und finde die Artikel nicht.

    Dann die zweite Frage – Was haben denn die anderen Leser hier gemacht, damit es wieder funktioniert. Ich denke eine endgültige Lösung gibt es noch nicht und mit den Dateien löschen oder verschieben ist es nicht so einfach getan? ANsonsten kann man ja auch einen Buchstaben davor setzen.

    • Günter Born sagt:

      Mir ist kein derartiger Artikel in Erinnerung. Ansonsten hatte ich die Workarounds, um die Anzeige wieder zum Laufen zu bringen, ja beschrieben. Benutzerdefinierte Ansichten sind per PowerShell abzurufen.

      • Dekre sagt:

        Danke, Dann habe ich das bei Deskmodder oder DrWindows damals gelesen.
        Es geht in der Ereignisanzeige um die Anzeige der Protokolls = /Protokolleigenschaften/Maximale Protokollgröße.

        Diese ist (manchmal) vom System zu niedrig eingestellt bzw. von installierten Programme, so dass dann nichts mehr da ist. So habe ich es in Erinnerung. Dann kommt immer eine Fehlermeldung und man kann die Protokollgröße dann hochsetzten.
        Du hast in Deinem Buch "Win 7 Prof Tricks", Kapitel 5.3.3, Seite 178 was kurz dazu geschrieben: "Die Größe der Protokolldateien sowie das Verhalten beim Erreichen der Speichergrenze lassen sich anpassen, indem Sie die Kategorie in der linken Spalte mit der rechten Maustaste anwählen und im Kontextmenü den Befehl Eigenschaften wählen (Bild 5.7). Auf der Registerkarte Allgemein des dann eingeblendeten Eigenschaftenfensters finden Sie die Optionen zur Vorgabe der Protokollgröße etc. …"

        Zu dem Fehler warte ich erst einmal ab, bis MS was bringt. Es funktioniert nur die "benutzerdefinierte…" nicht.

  13. Jetzt ist man bei Microsoft schon so weit, dass man nicht mal mehr den Fehler mithilfe der Ereignisanzeige suchen kann, da genau diese den Fehler produziert und keine Protokolleinträge mehr anzeigt.
    Aber der Workaround hier (Datei "View_0.xml" löschen) funktioniert, vielen Dank!

  14. Bernard sagt:

    Also erst einmal die Updates KB4503269 und KB4503290 nicht installieren.

  15. Ralf Lindemann sagt:

    Ich kann den Fehler auf meinem Win 7-Rechner auch nachvollziehen, ist für mich aber nicht weiter dramatisch, weil ich die Benutzerdefinierte Ansicht kaum aufgerufen habe. Meistens verwende ich für das Abrufen von Ereignisdaten, statt der Windows Ereignisanzeige, FullEventLogView von NirSoft.
    Das kleine Tool ist eine Alternative für die Windows Ereignisanzeige und zumindest für meine bescheidenen Zwecke ausreichend. Wer sich dafür interessiert, findet das Tool hier:
    https://www.nirsoft.net/utils/full_event_log_view.html

  16. KB4503293: Fehler bei der Installation am 12.6.2019
    Mein Windows 10 1903 (Build 18362.116)
    fur nach der Installation von diversen Updates (Flash, Word 2013 (??? Ich habe O365)
    AdminCentern 1904.1, Skype for Business 2015 (KB4464593)
    nur noch in einen schwarzen Desktop hoch mit einem Mauszeiger.
    Linker Bildschirm mit Zeiger und Kreis / rechter nur Mauszeiger (erw. Desktop)
    Asus Board i7
    plus der Kreis mit den rotierenden Punkten.
    Keine Anmeldemöglichkeit.
    NAch 3x Reset im erweiterten Startmenü keine Möglichkeit das letzte Update zu entfernen. NAch gut 2 Stunden und ca. 12 mal Reset ud 2x Abgesichert klappte dann der Windows Start.

  17. Dekre sagt:

    Bei mir gibt es die Dateien jeweils nur 1x.
    Der Ordner: C:\Users\\AppData\Local\Microsoft\Event Viewer\Views\
    ist bei mir leer.

    Das Ganze funktioniert zwar mit dem löschen, wenn man in die administrativen Ereignisse wieder rein will. Ich habe aber die gelöschten wieder hergestellt und diese wieder reingesetzt in das Verzeichnis C:\ProgramData\Microsoft\Event Viewer\Views
    weil ich benutzerdefinierte Ansichten erstellt habe, so u.a. chkdsk der Systemfestplatte. Ansonsten muss ich das wieder alles zusammenbasteln und ich weiß gar nicht mehr was ich da alles so eingerichtet habe. Ich habe insgesamt 4 xml-Dateien.

    Ich warte jetzt mal was MS da so rausbringt. Das kann ja wohl nicht so schwer für die sein, den Fehler wieder zu korrigeren. Vielleicht kommt es nächsten Donnerstag mit dem pre-view für nächsten Monat.

    Bei einem Win7-PC mache ich erst einmal kein Update und da funktioniert es noch. Das ist da nicht so schlimm. Da tausche ich immer die Systemfestplatte.

  18. acvolker sagt:

    Muss die obige Lösung einmalig durchgeführt werden oder bei jedem PC-Start? Danke.

  19. wolf49 sagt:

    Hallo Günter,

    Dass die Datei View_0.xml in den Ordnern

    1. C:\ProgramData\Microsoft\Event Viewer\Views\

    oder

    2. C:\Users\\AppData\Local\Microsoft\Event Viewer\Views\

    zu finden sein kann, hat ausschließlich damit zu tun, ob eine benutzerdefinierte Ansicht benutzerspezifisch oder für alle Benutzer angelegt wird, bzw. angelegt wurde:

    Legt man eine neue benutzerdefinierte Ansicht an, erscheinen 2 Dialogfelder nacheinander. Im zweiten namens "Filter in benutzerdefinierter Ansicht speichern" ist standardmäßig das Kontrollkästchen "Alle Benutzer" aktiviert: Bei dieser Einstellung wird der komplette Verzeichniszweig "Event Viewer" und damit auch die Datei View_0.xml im "ProgrammData"-Ordner angelegt, ansonsten im jeweiligen "Users"-Ordner.

    Man kann spaßeshalber diesen ganzen Verzeichniszweig "Event Viewer" löschen, da er ohne Verwendung benutzerdefinierter Ansichten unnötig ist und beim Anlegen der ersten benutzerdefinierten Ansicht (und nur dann!) neu angelegt wird.

    ***

    Dein "Hinweis auf eine mögliche Ursache?" kann nicht die Ursache des Problemes sein, dass die Datei View_0.xml lt. Fehlermeldung "von einem anderen Prozess verwendet wird", denn das Feld "Öffnen mit:" in den Datei-Eigenschaften reflektiert lediglich, womit diese Datei zuletzt geöffnet wurde, bzw. womit man sie standardmäßig öffnen möchte. Bei mir ist es z.B. Notepad++.

    Wolfgang

    • Günter Born sagt:

      Ok, war die Nacht spät. Deine erste Aussage trifft nur zu, wenn der MMC mit administrativen Berechtigungen läuft. Da ich standardmäßig mit Standard-Benutzerkonten arbeite, war das Feld Alle Benutzer ausgegraut und nicht anwählbar – habe es daher übersehen. Aber es erklärt, warum die XML-Dateien in die zwei Ordner wandern – danke.

      Zum 'Event Viewer spaßeshalber löschen': Habe ich mal gemacht – jetzt gab es einen Ordner Even Viewer92Views, der die XML enthielt – später kam ein Event Viewer-Order hinzu.

      Mit dem zweiten Teil: War ein Bauchgefühl, da Handler häufiger solchen Mist machten. Aber ich muss mir nicht den Kopf um Sachen zerbrechen, die Microsoft zu analysieren und zu fixen hat.

    • Dekre sagt:

      Danke für die Erläuterung. Ich habe mir das schon gedacht, da ich andere Benutzerkonteneinstellungen habe.

  20. Schubert sagt:

    Laptop, W7/64, installiert sind die 'Nur-Sicherheitsupdates'

    Neben dem aktuellen Problem benötigt mein Rechner nun deutlich länger zum Hoch- und Herunterfahren.
    Test: Image (angefertigt unmittelbar vor dem Monatsupdate) eingespielt, Problem beseitigt;
    nochmals Sicherheitsupdate installiert: siehe oben.
    und nochmal Image eingespielt: so bleibt es erstmal, zumindest bis Klarheit besteht.

    Die Frage, die ich mir stelle: Wird MS das Juni-Sicherheitsupdate "updaten" (flicken), so dass man das vermurkste Juni-Update trotzdem einspielen muss, oder wird es ein gänzlich neues Update geben, welches das Juni-Update ersetzt und/oder mit dem Juli-Update kombiniert. "Eigentlich" habe ich ja überhaupt kein "Bock", den Juni-Murks erneut zu installieren, nur damit der Lap-TOP wieder alles andere als Top, sprich womöglich wieder zur lahmen Ente wird …

    Grüße

  21. cross sagt:

    KB4503327 auf win10_64 normal installiert, wie alle anderen angebotenen auch. Et gibt 0,0 Problemos. Nix.
    Auch nicht provoziert. Kein Prob mit der Ereignisanzeige/benutzer/admini, keine entsprechenden Dateien (s.o.). Volle Funkionalität.
    Gibts also auch…, bzw. gilt dann anscheinend wohl nur für bestimmte HW-Konstellationen(?!).

  22. Martin Ramp sagt:

    Vielen Dank Herr Born,

    musste die mmc nach dem verschieben der benannten Dateien zwei mal neustarten dann waren alle Funktionen wieder gegeben. Immer wieder eine enorme Stütze Ihr Blog.

    M.Ramp

  23. RainerHH sagt:

    bei mir ist unter Öffnen mit: MS Edge eingetragen

  24. Uwe sagt:

    Danke! Wird hier bestätigt, bei Server 2016 und W10 pro 1809. Der Witz ist, weil MS die Funktion "überwachte Ordner" total versaut eingebaut hat (selbst das MS Office 2016 funktioniert nach Aktivierung der Funktion nicht mehr) habe ich eine Anzeige der Ereignisse in Sachen überwachter Ordnerzugriff angelegt. Der geht ja nun nicht mehr … MS baut seit Jahren mit den Updates u besonders bei W10 nur noch TOTALE SCH….

  25. Micha_HAL sagt:

    Das Problem betrifft nicht nur die benutzerdefinierten Ansichten, es sind auch die Filter betroffen.

  26. ATR sagt:

    Hallo
    Kann es sein, das hier was falsch gelaufen ist?:
    "Das Ganze betrifft aktuell wohl nur die Windows 10 Versionen V1903 (Update
    KB4503293) und V1809 (Update KB4503293)."
    Meines Wissens nach haben die Updates der verschiedenen Windows Versionen auch immer andere KB-Nummern, hier steht aber für v1903 und v1809 dieselbe Nummer. Der zweite Link führt dann auch erwatungsgemäß zum Artikel für die v1903 und nicht für die 1809.

  27. Gobac sagt:

    Hallo zusammen,

    wir haben das Problem seit Juni und mit den Patchen aus Juli ist keine Lösung geliefert.
    Hat Microsoft eine Lösung außer PowerShell-Workarounds für das Problem?

    Danke!

  28. User2019Admin sagt:

    Hallo,
    ich habe gerade die Rechte in dem Ordner \Views\ geändert. Wenn man die Vererbung an dem Ordner \Views\ bricht, also entfernt und alle bestehenden Rechte kopiert, trat der Fehler danach nicht mehr auf.
    Danach kann man die Vererbung wieder aktivieren :-)
    Werde das Montag auch mal auf meinen 2012r2 Servern ausbrobieren. In Windows 7 funktioniert es.
    Das Problem scheint zu sein das die Rechte im NTFS nicht sauber gesetzt wurden. Welche Prozess des Updates das auch immer gemacht hat.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.