Мы видим ошибку, из-за которой не удается получить доступ к журналу безопасности
Эта статья поможет устранить ошибку, из-за которой не удается получить доступ к журналу безопасности.
Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 2751670
Симптомы
Мы видим следующую ошибку: «Средству просмотра событий не удается открыть журнал событий или пользовательское представление. Убедитесь, что служба журнала событий запущена или запрос слишком длинный. Доступ запрещен» при попытке открыть журналы безопасности на некоторых контроллерах домена с помощью учетной записи администратора домена.
Причина
У нас не было необходимых разрешений безопасности, определенных для учетной записи журнала событий в реестре.
Решение
Чтобы устранить ошибку, выполните указанные ниже действия.
- Проверенные разрешения NTFS для C:\Windows\System32\winevt\Logs — пользователь журнала событий имеет полный контроль
- Checked HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Security — eventlog has no permissions there.
- Предоставлены разрешения на чтение «NT service\EventLog» в HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Security . (Это необходимо сделать, выбрав учетную запись локального компьютера, щелкнув «расположения».
- Повторно Просмотр событий и убедились, что теперь можно прочитать журналы безопасности.
Обратная связь
Были ли сведения на этой странице полезными?
Ошибка при включении журнала событий аналитики или отладки: запрашиваемая операция не может быть выполнена по включенном прямому каналу. Прежде чем выполнять запрашиваемую операцию, канал необходимо отключить.
Эта статья поможет устранить ошибку, которая возникает при включении журнала аналитических или отладочных событий.
Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 2488055
Симптомы
При попытке включить или изменить свойства аналитических или отладочных событий входа в систему может возникнуть следующую Просмотр событий:
Ошибка запроса
Один или несколько журналов в запросе содержат ошибки.
Запрашиваемая операция не может быть выполнена по включенном прямому каналу. Прежде чем выполнять запрашиваемую операцию, канал необходимо отключить.
При попытке внесения изменений с помощью средства Wevtutil может появиться следующее сообщение об ошибке:
Не удается активировать канал.
Не удалось сохранить конфигурацию или активировать имя .
Запрашиваемая операция не может быть выполнена по включенном прямому каналу. Прежде чем выполнять запрашиваемую операцию, канал необходимо отключить.
Сначала необходимо выбрать «Просмотр«, «Показать журналы аналитики и отладки» в Просмотр событий, чтобы журналы аналитики и отладки отображались в Просмотр событий. Например, журнал действий WMI (полное имя Microsoft-Windows-WMI-Activity/Trace) находится в папке Applications and Services Logs\Microsoft\Windows\WMI-Activity\Trace.
Причина
Для журналов аналитики и отладки Просмотр событий не разрешает запрашивать или просматривать события, если журнал включен и перезаписывает события по мере необходимости (сначала настроены самые старые события).
Это не так для административных и операционных журналов, таких как системные журналы, журналы приложений и безопасности, которые можно просматривать при настройке перезаписи событий при необходимости ( сначала самые старые события).
Журналы аналитики и отладки по умолчанию настроены для событий «Не перезаписывать» (очистка журналов вручную). Для циклического ведения журнала, когда старые события удаляются при превышении максимального размера журнала, при необходимости включите события перезаписи (сначала самые старые события).
Ведение журнала выполняется, даже если отображается эта ошибка. Эта ошибка означает, что вы не можете просмотреть события, которые регистрируются в данный момент.
Решение
Журнал аналитики или отладки можно просмотреть, если он включен, если события перезаписи не заданы по мере необходимости в Просмотр событий, который в Wevtutil /retention:false /rt:false настроен с помощью или . Если события перезаписи задано по мере необходимости ( /retention:false ), так как требуется циклическое ведение журнала, необходимо сначала отключить этот журнал, прежде чем можно будет просмотреть события. Например, чтобы использовать средство Wevtutil для включения журнала WMI-Activity, при необходимости задайте события перезаписи и измените размер на 150 МБ (по умолчанию — 1024 КБ), выполните следующую команду:
wevtutil set-log "Microsoft-Windows-WMI-Activity/Trace" /enabled:false wevtutil set-log "Microsoft-Windows-WMI-Activity/Trace" /enabled:true /quiet:true /retention:false /maxsize:153600 После воспроизведения проблемы отключите журнал и экспортируйте его для проверки.
wevtutil set-log "Microsoft-Windows-WMI-Activity/Trace" /enabled:false wevtutil export-log "Microsoft-Windows-WMI-Activity/Trace" %temp%\%computername%_WMI-Activity.evtx » Служба уведомления о системных событиях
Всем привет. Винда при загрузке стала выдавать такую ошибку — windows не удается подключиться к службе «Служба уведомления о системных событиях». Просит посмотреть администратора журнал системных событий. Я являюсь администратором но просмотреть журнал не могу. Что делать?
Автор: BVV63
Дата сообщения: 21.12.2011 05:45
Я являюсь администратором но просмотреть журнал не могу.
Автор: CORRRR
Дата сообщения: 21.12.2011 05:47
Пишет — служба журнала событий недоступна. Убедитесь, что служба запущена.
Автор: BVV63
Дата сообщения: 21.12.2011 05:48
А впрочем, понятно. Раз служба не работает, то и журналы не откроются. Выполните Services.MSC, поглядите что там со службой: запущена ли, тип запуска.
Автор: CORRRR
Дата сообщения: 21.12.2011 05:50
Как выполнить?
Автор: BVV63
Дата сообщения: 21.12.2011 06:01
Как выполнить?
Автор: CORRRR
Дата сообщения: 21.12.2011 06:03
Так уже пробовал. Пишет не могу найти.
Автор: BVV63
Дата сообщения: 21.12.2011 06:07
CORRRR
Не может найти services.msc. Поглядите, есть ли данный файл в %SystemRoot%\System32.
Автор: CORRRR
Дата сообщения: 21.12.2011 06:58
Нашел файл, открыл, увидел службы. Нашел службу уведомления о системных событиях. Она? В состоянии пишет — запуск.
Автор: BVV63
Дата сообщения: 21.12.2011 07:02
В состоянии пишет — запуск.
1. Какой тип запуска установлен? Авто, вручную, отключено?
2. Попытайтесь запустить вручную. Запустится?
Автор: CORRRR
Дата сообщения: 21.12.2011 07:05
Был авто. Поставил вручную, но кнопка запуска не загорелась.
Автор: BVV63
Дата сообщения: 21.12.2011 07:53
CORRRR
1. Отсортируйте службы по типу запуска. Поглядите, какие службы имеют тип «Авто», но не стартовали.
2. Уверены, что комп чистый, не заражён ничем?
Поставил вручную, но кнопка запуска не загорелась.
Нет, правильно — авто. Я имел ввиду запустить вручную.
Автор: CORRRR
Дата сообщения: 22.12.2011 22:27
В смысле, у которых тоже стоит запуск или те у которых в состоянии вообще ни чего не стоит тоже считать?
Вообще все это произошло после того как я нод решил на авиру поменять. В течение этого дня пытался еще сквозное соединение с интернетом на телефоне сделать, но не знаю, может это уже было после того как проблема появилась.
А как вручную запустить?
Автор: BVV63
Дата сообщения: 23.12.2011 04:25
Цитата:
В смысле, у которых тоже стоит запуск или те у которых в состоянии вообще ни чего не стоит тоже считать?
Отсортируйте по типу запуска (1) и поглядите, какие службы из тех, что имеют тип запуска «Авто», не стартанули (2).
А как вручную запустить?
Если служба не запущена и кнопка «Пуск» активна, нажмите на неё.
Какой тип запуска стоит у службы уведомления о системных событиях? Должно быть «Авто».
Автор: CORRRR
Дата сообщения: 23.12.2011 20:00
Не стартовали (написано — запуск):
— DHCP-клиент
— Net Driver HPZ12
— модуль поддрежки netBIOS через TCP/IP
— служба уведомлений о системных событиях.
Есть еще те у которых в столбце «состояние» вообще ничего нет.
Тип запуска — автоматический, кнопка «Запустить» не активна.
Автор: BVV63
Дата сообщения: 26.12.2011 04:26
Есть еще те у которых в столбце «состояние» вообще ничего нет.
Значит, не стартовали.
Не стартовали (написано — запуск):
— DHCP-клиент
— Net Driver HPZ12
— модуль поддрежки netBIOS через TCP/IP
— служба уведомлений о системных событиях.
«Служба журнала событий недоступна».Что делать?
Хотел запустить «Просмотр событий»,но выдает ошибку: «Служба журнала событий недоступна. Убедитесь, что служба запущена.» В службах она Выполняется. Что делать?
Голосование за лучший ответ
Попробуй перезапустить в Администрировании- Службах.
Арсений НеборскийПрофи (528) 4 года назад
Эта кнопка у меня серая (недоступна).
Break® Искусственный Интеллект (278466) Windows чистая или сборка чья то? Может быть отключена самим составителем сборки.
Похожие вопросы
Ваш браузер устарел
Мы постоянно добавляем новый функционал в основной интерфейс проекта. К сожалению, старые браузеры не в состоянии качественно работать с современными программными продуктами. Для корректной работы используйте последние версии браузеров Chrome, Mozilla Firefox, Opera, Microsoft Edge или установите браузер Atom.