Event ID 10 входит в журнал приложения после установки Пакет обновления 1 для Windows 7 или Windows Server 2008 R2

В этой статье предоставляется сценарий для решения проблемы 10 событий, зарегистрированных после установки Пакет обновления 1 для Windows 7 или Windows Server 2008 R2.

Оригинальная версия продукта: Windows 7 Пакет обновления 1, Windows Server 2008 R2 Пакет обновления 1
Исходный номер КБ: 2545227

Симптомы

После установки Windows 7 Пакет обновления 1 (SP1) или Windows Server 2008 R2 SP1 с использованием встроенного мультимедиа после каждой перезагрузки в журнале приложений регистрируется следующая ошибка WMI:

Причина

Эта проблема возникла в процессе создания DVD/ISO в Windows 7 SP1. В процессе создания была проблема, из-за чего регистрация WMI осталась в DVD/ISO. Так как регистрация предназначена для работы только во время процесса создания DVD/ISO, она не работает в живой системе и вызывает эти события. Эти события не указывают на какие-либо проблемы в системе и могут быть безопасно проигнорированы. Если вы хотите предотвратить получение этих событий и хотите удалить эту конкретную регистрацию WMI вручную, запустите сценарий обхода.

Решение

Чтобы устранить проблему, запустите скрипт, чтобы остановить сообщения Event ID 10. Чтобы запустить сценарий, выполните следующие действия:

В Блокноте создайте новый документ с именем Workaround.txt.

Скопируйте следующий скрипт в блокнот:

Сохраните текст как Workaround.vbs.

Откройте командную команду с повышенными уровнями:

1. Нажмите кнопку Пуск.
2. Выбор программ.
3. Правой кнопкой мыши по командной подсказке.
4. Выберите запуск в качестве администратора.

Измените Каталог на каталог, содержащийworkaround.vbs, CD c:\users\%username% например. .

После запуска скрипта ошибки event ID 10, связанные с этим событием, должны прекратиться. Этот скрипт не удаляет все существующие записи в журнале Событий, их необходимо удалить вручную из журнала событий приложения.

Могут быть другие причины для сообщений об ошибках Event ID 10. Это обходное решение только предотвращает сообщение об ошибке, перечисленное выше.

Дополнительные сведения

Это определенное сообщение об ошибке Event ID 10, перечисленное выше, можно смело игнорировать. Это не указывает на проблему с Пакет обновления операционной системой.

Event ID 10 is logged in the Application log after you install Service Pack 1 for Windows 7 or Windows Server 2008 R2

This article provides a script to solve the event ID 10 that’s logged after you install Service Pack 1 for Windows 7 or Windows Server 2008 R2.

Original product version: В Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1
Original KB number: В 2545227

Symptoms

After you install Windows 7 Service Pack 1 (SP1) or Windows Server 2008 R2 SP1 using integrated media, the following WMI error is logged in the application log after every reboot:

Cause

This issue originated in the Windows 7 SP1 DVD/ISO creation process. There was an issue in the creation process that caused a WMI registration to remain in the DVD/ISO. Since the registration is designed to work only during the DVD/ISO creation process, it fails to run on a live system and causes these events. These events aren’t indicative of any issue in the system and can be safely ignored. If you want to prevent these events from getting generated and want to remove this specific WMI registration manually, run the workaround script.

Resolution

To resolve the issue, run a script to stop the Event ID 10 messages. To run the script, follow these steps:

In Notepad, create a new document named Workaround.txt.

Copy the following script into notepad:

Save the text as Workaround.vbs.

Open an elevated command prompt:

1. Select Start.
2. Select Programs.
3. Right-click on Command Prompt.
4. Choose run as administrator.

Change Directory to the one containing workaround.vbs, for example, CD c:\users\%username% .

Run the script workaround.vbs.

After running the script, the Event ID 10 errors related to this event should stop occurring. This script doesn’t remove any of the existing entries in the Event log, they would need to be manually cleared out of the application event log.

There can be other reasons for Event ID 10 error messages. This workaround only prevents the error message listed above from occurring.

More information

This particular Event ID 10 error message listed above can be safely ignored. It isn’t indicative of a problem with the Service Pack or with the operating system.

Windows Event Logs — Event Log FAQ

What is Windows event log?

Event logs are special files that record significant events on your computer, such as when a user logs on to the computer or when a program encounters an error. Whenever these types of events occur, Windows records the event in an event log. Users might find the details in event logs helpful when troubleshooting problems with Windows and other programs.

Unlike UNIX syslog, Microsoft event log is not a text file and it is impossible to view it with simple text editors. Microsoft Windows event log is a binary file that consists of special records – Windows events.

Microsoft Windows runs Event Log Service to manage event logs, configure event publishing, and perform operations on the logs. Windows Event Log service exposes a special API, which allows applications to maintain and manage event logs.

Windows event logging was introduced in Windows NT operating system (version 3.1) in 1993. This Windows edition came with three Windows logs: Application event log, System event log and Security event log. Modern versions of Windows come with more than a hundred of Windows eventlogs, and third party applications can create and integrate into Windows logging their own event logs.

How to view event logs?

You can view eventlogs using Event Viewer (comes with Windows operating system) or third-party Windows event viewers. We recommend using our Event Log Explorer software – it provides a lot of advanced features for event log management.

What is Windows Event Log Service?

Windows Event Log Service is a Windows service that manages events and event logs. It supports logging events, querying events, subscribing to events, archiving event logs, and managing event metadata. It helps to display events in both XML and plain text format. This service is enabled and starts automatically by default. You should not stop or disable this service. Stopping Windows Event Log service may compromise security and reliability of the system.

What are Windows event log files?

Windows Event Log Service lets users to save (backup) event logs to files. Windows NT, 2000 and XP/2003 save event logs to EVT format. Windows Vista/2008 and better save logs to EVTX format. Having backup event files are essential for incident investigation.

Windows event logs are also files, but they are commonly locked by Windows (Event Log Service) and it is impossible to open these files on «live» system. But if the computer is started from another disk or the system drive from the analyzed machine is connected to another computer, you can read event logs as files. The default location of event logs on Vista/2008 and better is «C:\Windows\System32\winevt\Logs\». Windows Event Viewer allows you to open event file as follows:

Click Open Saved Log in Actions pane of Event Viewer.

Select your event log file and it will appear in Windows Event Viewer as a log.

Our Event Log Explorer software also works with event files and does it even better than Event Viewer, e.g. it lets you read even damaged event files.

What is Windows Application event log?

The Application log contains events logged by applications or programs. For example, a database program might record a file error in the application log. Program developers decide which events should be logged. E.g. Microsoft SQL Server logs details about important events linked with SQL server, e.g. «out of memory», «backup failure» etc. One application log commonly contains events logged from different sources (applications), so it is incorrect to rely solely on event ID when analyzing the Application log. You should always rely on event ID along with event source. Some applications, such as Internet Explorer, Power Shell create own event log instead of using Windows application event log. Such logs look exactly like standard Windows event logs and Event Viewer (as well as Event Log Explorer) can read these event logs. Application logs are commonly useful for application support teams.

What is Windows System event log?

The System log contains events logged by Windows system components. For example, the failure of a driver or other system component to load during startup is recorded in the system log. The event types logged by system components are predetermined by Windows. Similarly to Application log, System event log lists events from different sources (system components) so you should not rely only on event ID when analyzing System log, instead you should rely on event ID along with event source. System logs are essential for system administrators and technicians.

Windows: Логи Выключений/Перезагрузок

При диагностики проблемы, которая вызывает неожиданные перезагрузки или выключения машины под управлением Windows, важно знать, какие события могут быть с этим связаны, коды этих событий (англ. event ID) и как найти соответствующие логи.

В этой заметке я публикую коды событий, связанных с выключением/перезагрузкой системы.

Я также показываю, как просмотреть историю включений/выключений с помощью стандартного приложения «Просмотр событий» (англ. Event Viewer) или из командной строки с помощью PowerShell.

Дельный Совет: Загрузка Windows в безопасном режиме! Читать далее →

Коды Событий Выключения

Список кодов в журнале событий Windows, связанных с выключением или перезагрузкой системы:

Event ID	Описание
41	Система была перезагружена без корректного завершения работы.
1074	Система была корректного выключена пользователем или процессом.
1076	Следует за Event ID 6008 и означает, что первый пользователь (с правом выключения системы) подключившийся к серверу после неожиданной перезагрузки или выключения, указал причину этого события.
6005	Запуск «Журнала событий Windows» (англ. Event Log). Указывает на включение системы.
6006	Остановка «Журнала событий Windows» (англ. Event Log). Указывает на выключение системы.
6008	Предыдущее выключение системы было неожиданным.
6009	Версия операционной системы, зафиксированная при загрузке системы.
6013	Время работы системы (англ. system uptime) в секундах.

«Просмотр событий» — История Выключений

События связанные с выключениями системы (включая дату и время) могут быть просмотрены с помощью программы «Просмотр событий».

Запустить «Просмотр событий» и найти события связанные с выключениями:

1. Нажмите клавишу Win , наберите eventvwr и запустите Просмотр событий
2. В панели слева разверните Журналы Windows и перейдите в Система
3. Щелкните правой кнопкой мыши на Система и выберите Фильтр текущего журнала.
4. Введите следующие коды в поле и нажмите OK :

Дельный Совет: История команд в PowerShell! Читать далее →

Логи Выключений в PowerShell

Например, чтобы отфильтровать 10000 последних записей из системного журнала событий в Windows и отобразить только те события, которые связаны с включениями или выключениями системы, выполните:

Дельный Совет: Запуск/Остановка служб в Windows из CMD! Читать далее →

Understanding Application Control events

A Windows Defender Application Control (WDAC) policy logs events locally in Windows Event Viewer in either enforced or audit mode. These events are generated under two locations:

Event IDs beginning with 30 appear in Applications and Services logs – Microsoft – Windows – CodeIntegrity – Operational

Event IDs beginning with 80 appear in Applications and Services logs – Microsoft – Windows – AppLocker – MSI and Script

Microsoft Windows CodeIntegrity Operational log event IDs

Event ID	Explanation
3076	Audit executable/dll file
3077	Block executable/dll file
3089	Signing information event correlated with either a 3076 or 3077 event. One 3089 event is generated for each signature of a file. Contains the total number of signatures on a file and an index as to which signature it is. Unsigned files will generate a single 3089 event with TotalSignatureCount 0. Correlated in the «System» portion of the event data under «Correlation ActivityID».
3099	Indicates that a policy has been loaded

Microsoft Windows Applocker MSI and Script log event IDs

Event ID	Explanation
8028	Audit script/MSI file generated by Windows LockDown Policy (WLDP) being called by the scripthosts themselves. Note: there is no WDAC enforcement on 3rd party scripthosts.
8029	Block script/MSI file
8038	Signing information event correlated with either a 8028 or 8029 event. One 8038 event is generated for each signature of a script file. Contains the total number of signatures on a script file and an index as to which signature it is. Unsigned script files will generate a single 8038 event with TotalSignatureCount 0. Correlated in the «System» portion of the event data under «Correlation ActivityID».

Optional Intelligent Security Graph (ISG) or Managed Installer (MI) diagnostic events

If either the ISG or MI is enabled in a WDAC policy, you can optionally choose to enable 3090, 3091, and 3092 events to provide additional diagnostic information.

Event ID	Explanation
3090	Allow executable/dll file
3091	Audit executable/dll file
3092	Block executable/dll file

3090, 3091, and 3092 events are generated based on the status code of whether a binary passed the policy, regardless of what reputation it was given or whether it was allowed by a designated MI. The SmartLocker template which appears in the event should indicate why the binary passed/failed. Only one event is generated per binary pass/fail. If both ISG and MI are disabled, 3090, 3091, and 3092 events will not be generated.

SmartLocker template

Below are the fields which help to diagnose what a 3090, 3091, or 3092 event indicates.

Name	Explanation
StatusCode	STATUS_SUCCESS indicates a binary passed the active WDAC policies. If so, a 3090 event is generated. If not, a 3091 event is generated if the blocking policy is in audit mode, and a 3092 event is generated if the policy is in enforce mode.
ManagedInstallerEnabled	Policy trusts a MI
PassesManagedInstaller	File originated from a trusted MI
SmartlockerEnabled	Policy trusts the ISG
PassesSmartlocker	File had positive reputation
AuditEnabled	True if the policy is in audit mode, otherwise it is in enforce mode

Enabling ISG and MI diagnostic events

In order to enable 3091 audit events and 3092 block events, you must create a TestFlags regkey with a value of 0x100. You can do so using the following PowerShell command:

In order to enable 3090 allow events as well as 3091 and 3092 events, you must instead create a TestFlags regkey with a value of 0x300. You can do so using the following PowerShell command: