Compartilhar via

Erro ao habilitar o log de eventos analíticos ou de depuração: a operação solicitada não pode ser executada em um canal direto habilitado. O canal deve primeiro ser desabilitado antes de executar a operação solicitada

Este artigo ajuda a corrigir um erro que ocorre quando você habilita o log de eventos analíticos ou de depuração.

Número original do KB: 2488055

Sintomas

Você pode receber o seguinte erro ao tentar ativar ou alterar as propriedades de um Visualizador de Eventos de login de evento de análise ou depuração:

Erro de consulta
Um ou mais logs na consulta têm erros.
A operação solicitada não pode ser executada em um canal direto habilitado. Primeiro, o canal precisa ser desabilitado antes da execução da operação solicitada.

Captura de tela da janela Erro de consulta que mostra Um ou mais logs na consulta têm erros.

Ao tentar alterações com a ferramenta Wevtutil, você pode receber o seguinte erro:

O canal não pode ser ativado.
Falha ao salvar a configuração ou ativar o nome> do log de log<.
A operação solicitada não pode ser executada em um canal direto habilitado. Primeiro, o canal precisa ser desabilitado antes da execução da operação solicitada.

Primeiro, você deve selecionar Exibir, Mostrar Logs de Análise e de Depuração no Visualizador de Eventos para tornar os logs de análise e depuração visíveis no Visualizador de Eventos. Por exemplo, o log WMI-Activity (nome completo Microsoft-Windows-WMI-Activity/Trace) está localizado em Logs de Aplicativos e Serviços\Microsoft\Windows\WMI-Activity\Trace.

Motivo

Para logs analíticos e de depuração, o Visualizador de Eventos não permite que eventos sejam consultados ou exibidos se o log estiver habilitado e tiver Substituir eventos conforme necessário (eventos mais antigos primeiro) configurados.

Esse não é o caso de logs administrativos e operacionais, como logs de sistema, aplicativo e segurança, que podem ser exibidos quando Substituir eventos conforme necessário (eventos mais antigos primeiro) está configurado.

Por padrão, os logs de análise e depuração são configurados para Não substituir eventos (Limpar logs manualmente). Para o log circular em que os eventos antigos são descartados quando o tamanho máximo do log é atingido, você habilitaria Substituir eventos conforme necessário (eventos mais antigos primeiro).

O registro está ocorrendo mesmo que esse erro seja exibido. O erro significa apenas que você não pode exibir os eventos que estão sendo registrados no momento.

Resolução

Você pode exibir um log analítico ou de depuração enquanto ele estiver ativado, desde que não defina Substituir eventos conforme necessário no Visualizador de Eventos, que no Wevtutil é configurado usando /retention:false ou /rt:false. Se você definir Substituir eventos conforme necessário (/retention:false) porque precisa de um log circular, primeiro desative esse log antes de poder exibir os eventos. Por exemplo, para usar a ferramenta Wevtutil para habilitar o log WMI-Activity, defina Substituir eventos conforme necessário e altere o tamanho para 150 MB (o padrão é 1024 KB), você pode executar o seguinte comando:

wevtutil set-log "Microsoft-Windows-WMI-Activity/Trace" /enabled:false
wevtutil set-log "Microsoft-Windows-WMI-Activity/Trace" /enabled:true /quiet:true /retention:false /maxsize:153600

Depois que o problema for reproduzido, desative o log e exporte-o para revisão.

wevtutil set-log "Microsoft-Windows-WMI-Activity/Trace" /enabled:false
wevtutil export-log "Microsoft-Windows-WMI-Activity/Trace" %temp%\%computername%_WMI-Activity.evtx