保存可执行文件句柄的 Windows 事件日志服务

Question

我有一个服务应用程序，在启动和关闭时记录事件日志记录。

我经常重建应用程序，然后重建主机上的可执行文件。问题是，在我的服务关闭后，Windows 事件日志服务（而不是事件日志查看器）持有可执行文件的打开句柄，因此我无法更新它。

• 我将事件日志消息嵌入到可执行文件中，我可以将其移出，但随后我只需将更新问题移至另一个文件。

• 我已仔细检查，并已正确配对 ::RegisterEventSource/::DeregisterEventSource。

有人遇到过这个问题吗？

Answer 1

我也遇到过这个问题，所以补充一下我的一些经验。

我有一个 Windows 2008 服务系统（在 2003 Server 上没有见过这个），当我停止服务时，svchost.exe 实例会加载服务可执行文件（使用 vmmap.exe 或 Process Hacker 可见），防止它被删除/在卸载/安装期间被覆盖。 svchost.exe 实例正在运行 DHCP 客户端 (Dhcp)、TCP/IP NetBIOS Helper (lmhosts) 和 Windows 事件日志 (EventLog) 服务。

在我们的例子中，我们创建了一个注册表项，使我们的服务可执行成为事件源。 （尽管我不确定我们为什么要这样做，或者我们是否应该这样做）。

根据经验，如果我在停止服务之前删除该注册表项，则 svchost.exe 不会加载可执行文件，一切都很好。如果服务已停止并且可执行文件已由 svchost.exe 加载，则重新启动事件日志服务（或终止进程）也会释放可执行文件。

我猜测我们的服务表现不佳（可能是 64 位操作系统上的 32 位进程的副作用？）或未正确安装，但尚未隔离问题。

更新：这个问题似乎只发生在 HP 系统上（而不是 Dell 或 IBM），这很奇怪。安装了 HP 特定的管理组件，因此也许其中之一正在以某种方式改变行为？

Answer 2

我也遇到过这个问题。就我而言，nxlog 服务读取日志。只需在替换事件源文件之前停止 nxlog 服务即可。

Answer 3

我认为这可能是事件日志查看者。关闭查看器就可以了。