本文有助于修复启用分析或调试事件日志时发生的错误。
原始 KB 数: 2488055
现象
尝试启用或更改分析或调试事件登录事件查看器的属性时,可能会收到以下错误:
查询错误
查询中的一个或多个日志有错误。
请求的操作不能通过已启用的直接通道执行。 必须先禁用通道,然后才能执行请求的操作。
尝试使用 Wevtutil 工具进行更改时,可能会收到以下错误:
通道无法激活。
无法保存配置或激活日志 <日志名称>。
请求的操作不能通过已启用的直接通道执行。 必须先禁用通道,然后才能执行请求的操作。
必须先在事件查看器中选择“查看”、“显示分析和调试日志”,以使分析和调试日志在事件查看器中可见。 例如, WMI-Activity 日志(全名 Microsoft-Windows-WMI-Activity/Trace)位于 应用程序和服务日志\Microsoft\Windows\WMI-Activity\Trace 中。
原因
对于分析和调试日志,事件查看器不允许在启用日志并根据需要(首先配置最早事件)的情况下查询或查看事件。
这不是系统、应用程序和安全日志等管理和操作日志的情况,在根据需要(首先配置最早的事件)时可以查看这些日志。
默认情况下, 不会覆盖事件(手动清除日志)配置分析和调试日志。 对于达到最大日志大小时丢弃旧事件的循环日志记录,需要根据需要启用 Overwrite 事件(最早的事件)。
即使显示此错误,也会进行日志记录。 错误仅表示无法查看当前正在记录的事件。
解决方法
只要未根据需要在 事件查看器 中设置 Overwrite 事件(在 Wevtutil 中配置了或配置/retention:false/rt:false了 Wevtutil 中),就可以在启用分析或调试日志时查看该日志。
如果根据需要/retention:false () 设置 Overwrite 事件,因为需要循环日志记录,必须先禁用该日志,然后才能查看事件。
例如,若要使用 Wevtutil 工具启用 WMI-Activity 日志,请根据需要设置 Overwrite 事件并将大小更改为 150 MB(默认值为 1024 KB),可以运行以下命令:
wevtutil set-log "Microsoft-Windows-WMI-Activity/Trace" /enabled:false
wevtutil set-log "Microsoft-Windows-WMI-Activity/Trace" /enabled:true /quiet:true /retention:false /maxsize:153600
问题重现后,请禁用日志并将其导出以供审阅。
wevtutil set-log "Microsoft-Windows-WMI-Activity/Trace" /enabled:false
wevtutil export-log "Microsoft-Windows-WMI-Activity/Trace" %temp%\%computername%_WMI-Activity.evtx