本文可協助您修正啟用分析或偵錯事件記錄檔時所發生的錯誤。
原始 KB 編號: 2488055
徵兆
當您試著啟用或變更分析或偵錯事件登入的屬性時,可能會收到下列錯誤,事件檢視器:
查詢錯誤
查詢中的一或多個記錄有錯誤。
要求的作業無法透過啟用的直接通道執行。 必須先停用通道,才能執行要求的作業。
![[查詢錯誤] 視窗的螢幕快照,其中顯示查詢中的一或多個記錄有錯誤。](media/error-when-enabling-analytic-debug-event-log/error-message-dialog-box.png)
嘗試使用 Wevtutil 工具進行變更時,您可能會收到下列錯誤:
通道無法啟動。
無法儲存組態或啟動記錄檔 <名稱>。
要求的作業無法透過啟用的直接通道執行。 必須先停用通道,才能執行要求的作業。
您必須先在 事件檢視器 中選取 [檢視]、[顯示分析和偵錯記錄],讓分析和偵錯記錄顯示在 事件檢視器 中。 例如, WMI-Activity 記錄檔 (全名 Microsoft-Windows-WMI-Activity/Trace) 位於 Applications and Services Logs\Microsoft\Windows\WMI-Activity\Trace 中。
原因
針對分析和偵錯記錄,事件檢視器 不允許同時啟用記錄並視需要覆寫事件(先設定最舊事件)時查詢或檢視事件。
這不是系統、應用程式和安全性記錄等系統管理記錄和作業記錄的情況,在視需要覆寫事件時可以檢視此記錄檔(最舊的事件先設定)。
根據預設,分析和偵錯記錄會針對 [不要手動清除記錄] 設定為 [不要覆寫事件]。 對於達到記錄大小上限時捨棄舊事件的循環記錄,您可以視需要啟用覆寫事件(最舊的事件先)。
即使顯示此錯誤,也會進行記錄。 錯誤僅表示您無法檢視目前正在記錄的事件。
解決方法
只要您在 事件檢視器 中未視需要設定覆寫事件,在 Wevtutil /retention:false 中使用 或 /rt:false來設定時,就可以檢視分析或偵錯記錄。
如果您視需要設定 Overwrite 事件 (/retention:false) ,因為您需要循環記錄,您必須先停用該記錄,才能檢視事件。
例如,若要使用 Wevtutil 工具來啟用 WMI-Activity 記錄,請視需要設定 Overwrite 事件,並將大小變更為 150 MB(預設值為 1024 KB),您可以執行下列命令:
wevtutil set-log "Microsoft-Windows-WMI-Activity/Trace" /enabled:false
wevtutil set-log "Microsoft-Windows-WMI-Activity/Trace" /enabled:true /quiet:true /retention:false /maxsize:153600
重現問題之後,請停用記錄並導出以供檢閱。
wevtutil set-log "Microsoft-Windows-WMI-Activity/Trace" /enabled:false
wevtutil export-log "Microsoft-Windows-WMI-Activity/Trace" %temp%\%computername%_WMI-Activity.evtx