В Windows, как известно, разного рода баги и глюки когда случаются, то в строгом соответствии с законом бутерброда и нередко приводят к гораздо более крупным неприятностям, вроде зависаний, вылетов и прочих «синих экранов», притом иногда достается даже EVTX-файлам.
Что такое EVTX-файлы, и зачем они нужны?
Ну, если вкратце, то в Windows предусмотрен свой «Журнал событий» (Event Log), в котором содержится инфа обо всем, что произошло в системе за время работы.
Не пропустите: Как сохранить выписку из Apple Card в формате OFX
Записывает эти данные система в собственном двоичном формате и сохраняет тоже в специальном формате, который называется EVTX и может быть просмотрен через программку «Просмотр событий» (она же — Microsoft Event Viewer).
Следовательно, когда в системе происходит какой-то сбой, то выяснять его причины опытный пользователь начинает именно с «Журнала событий».
Более того, именно журнал является основным и единственным источником достоверных данных, позволяющих в кратчайшие сроки диагностировать и устранить критический сбой в Windows.
Но только при условии, что файлы журнала не повреждены. А такое бывает не всегда. Иногда комп вырубается до того, как система успевает внести запись об ошибке в Журнал.
В таком случае пользователь, как правило, предпочитает не возится с поврежденным EVTX-файлом, а просто ждет, когда сбой повторится снова, в надежде, что в следующий раз Журнал все-таки поможет выявить его причины.
Но такое «прокатывает» тоже не всегда, потому в ряде случаев приходится таки не ждать, а заниматься извлечением данных из того файла, который остался.
Как минимум, можно попробовать либо восстановить его, либо вытащить из него данные в СSV. Для этого есть специальные программные инструменты, но ими надо уметь пользоваться и в частности иметь некоторые навыки обращения с Python, что, разумеется, не под силу обычному юзеру.
что делать, если ни открыть, ни восстановить поврежденный EVTX не получается?
Надо или звать кого-то более опытного на помощь, или ждать повторения проблемы (как все и делают). Но прежде надо удалить поврежденный EVTX-файл журнала. Сделать это можно вручную, а можно с помощью штатного инструмента «Очистки диска» Windows.
Есть еще утилитка, которая чистит файлы журнала автоматом, вот такая, но эта, во-первых, работает только с Windows 7, а во-вторых, запускать её можно только с правами Администратора системы, иначе Защитник работать ей не даст. Если же после очистки Журнала, новый EVTX с первого раза не открылся, то попытку можно (и нужно) повторить еще раз.