Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird ein Fehler behoben, der auftritt, wenn Sie das Analyse- oder Debugereignisprotokoll aktivieren.
Ursprüngliche KB-Nummer: 2488055
Symptome
Möglicherweise erhalten Sie den folgenden Fehler, wenn Sie versuchen, die Eigenschaften einer Analyse- oder Debugereignisanmeldung Ereignisanzeige zu aktivieren oder zu ändern:
Abfragefehler
Mindestens ein Protokoll in der Abfrage weist Fehler auf.
Der angeforderte Vorgang kann nicht über einen aktivierten direkten Kanal ausgeführt werden. Der Kanal muss zunächst deaktiviert werden, bevor der angeforderte Vorgang ausgeführt wird.
Beim Versuch von Änderungen mit dem Wevtutil-Tool wird möglicherweise die folgende Fehlermeldung angezeigt:
Der Kanal kann nicht aktiviert werden.
Fehler beim Speichern der Konfiguration oder Beim Aktivieren des Protokollprotokollnamens<>.
Der angeforderte Vorgang kann nicht über einen aktivierten direkten Kanal ausgeführt werden. Der Kanal muss zunächst deaktiviert werden, bevor der angeforderte Vorgang ausgeführt wird.
Sie müssen zuerst "Ansicht", "Analyse- und Debugprotokolle anzeigen" in Ereignisanzeige auswählen, um Analyse- und Debugprotokolle in Ereignisanzeige sichtbar zu machen. Beispielsweise befindet sich das WMI-Aktivitätsprotokoll (vollständiger Name Microsoft-Windows-WMI-Activity/Trace) in Den Anwendungs- und Dienstprotokollen\Microsoft\Windows\WMI-Activity\Trace.
Ursache
Bei Analyse- und Debugprotokollen lässt Ereignisanzeige nicht zu, dass Ereignisse abgefragt oder angezeigt werden, wenn das Protokoll sowohl aktiviert ist als auch Überschreiben von Ereignissen nach Bedarf (älteste Ereignisse zuerst) konfiguriert ist.
Dies ist nicht der Fall für Administrative und Betriebsprotokolle wie System-, Anwendungs- und Sicherheitsprotokolle, die angezeigt werden können, wenn Ereignisse nach Bedarf überschrieben werden (zuerst älteste Ereignisse).
Analyse- und Debugprotokolle sind standardmäßig für "Nicht überschreiben"-Ereignisse konfiguriert (Manuelles Löschen von Protokollen). Für die Zirkelprotokollierung, bei der alte Ereignisse verworfen werden, wenn die maximale Protokollgröße erreicht wird, würden Sie bei Bedarf Overwrite-Ereignisse aktivieren (zuerst älteste Ereignisse).
Die Protokollierung erfolgt, auch wenn dieser Fehler angezeigt wird. Der Fehler bedeutet nur, dass Sie die derzeit protokollierten Ereignisse nicht anzeigen können.
Lösung
Sie können ein Analyse- oder Debugprotokoll anzeigen, solange es aktiviert ist, solange Sie in Ereignisanzeige keine Überschreiben-Ereignisse nach Bedarf festlegen, die in Wevtutil mit /retention:false oder /rt:falsekonfiguriert ist.
Wenn Sie Overwrite-Ereignisse nach Bedarf/retention:false () festlegen, da Sie Zirkelprotokollierung benötigen, müssen Sie dieses Protokoll zuerst deaktivieren, bevor Sie die Ereignisse anzeigen können.
Um z. B. das Wevtutil-Tool zum Aktivieren des WMI-Aktivitätsprotokolls zu verwenden, legen Sie bei Bedarf Überschreiben-Ereignisse fest und ändern Sie die Größe auf 150 MB (Standard ist 1024 KB), sie können den folgenden Befehl ausführen:
wevtutil set-log "Microsoft-Windows-WMI-Activity/Trace" /enabled:false
wevtutil set-log "Microsoft-Windows-WMI-Activity/Trace" /enabled:true /quiet:true /retention:false /maxsize:153600
Nachdem das Problem reproduziert wurde, deaktivieren Sie das Protokoll, und exportieren Sie es zur Überprüfung.
wevtutil set-log "Microsoft-Windows-WMI-Activity/Trace" /enabled:false
wevtutil export-log "Microsoft-Windows-WMI-Activity/Trace" %temp%\%computername%_WMI-Activity.evtx