Мне нужно устранить некоторые сбои WMI, от которых мы страдаем. К сожалению, журнал событий не показывает никаких подробностей, так как описания отсутствуют. Вот что написано в журнале:
The description for Event ID 5612 from source **Microsoft-Windows-WMI** cannot be found. Either the component that raises this event is not installed on your local computer or the installation is corrupted. You can install or repair the component on the local computer.
If the event originated on another computer, the display information had to be saved with the event.
The following information was included with the event:
HandleCount
4116
4096
10508
Я уже изучил статью базы знаний Microsoft о том, как устранить проблему «сообщение о событии не найдено» (https://support.microsoft.com/en-us/kb/166902) без везения.
Ключ реестра EventMessageFile под HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Application\**WMI.NET Provider Extension** указывает на C:\Windows\Microsoft.NET\Framework64\v4.0.30319\EventLogMessages.dll который существует.
Сравнение ключей реестра с системой, в которой этот конкретный идентификатор события отображается правильно, не показывает никаких различий. Так же EventLogMessages.dll имеет ту же версию и контрольную сумму.
Я ищу нужный ключ реестра?
Тропинка HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Application\WinMgmt содержит только ключ под названием ProviderGuid. Но, похоже, это нормально, поскольку описания отображаются в системе, имеющей такой же (и только этот) ключ.
[РЕДАКТИРОВАТЬ]
Я действительно искал неправильные ключи реестра. Правильно искать HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Application\Microsoft-Windows-WMI который полностью отсутствовал. Также ключ называется Enabled и ChannelReferences подключи, отсутствующие в конфигурации поставщика, которые можно найти по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{1edeee53-0afe-4609-b846-d8c0b2075b1f}.
Добавление этих ключей привело к правильному отображению событий WMI. Однако это длилось только до перезагрузки системы. Теперь ключи реестра в порядке, но все еще нет правильного отображения событий ... есть идеи?
Это мои точные настройки реестра, которые я экспортировал из рабочей системы:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Application\Microsoft-Windows-WMI]
"ProviderGuid"="{1edeee53-0afe-4609-b846-d8c0b2075b1f}"
"EventMessageFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,\
00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,\
5c,00,77,00,62,00,65,00,6d,00,5c,00,57,00,69,00,6e,00,4d,00,67,00,6d,00,74,\
00,52,00,2e,00,64,00,6c,00,6c,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{1edeee53-0afe-4609-b846-d8c0b2075b1f}]
@="Microsoft-Windows-WMI"
"ResourceFileName"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,\
00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,\
5c,00,77,00,62,00,65,00,6d,00,5c,00,57,00,69,00,6e,00,4d,00,67,00,6d,00,74,\
00,52,00,2e,00,64,00,6c,00,6c,00,00,00
"MessageFileName"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,\
6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,\
00,77,00,62,00,65,00,6d,00,5c,00,57,00,69,00,6e,00,4d,00,67,00,6d,00,74,00,\
52,00,2e,00,64,00,6c,00,6c,00,00,00
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{1edeee53-0afe-4609-b846-d8c0b2075b1f}\ChannelReferences]
"Count"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{1edeee53-0afe-4609-b846-d8c0b2075b1f}\ChannelReferences\0]
@="Application"
"Id"=dword:00000009
"Flags"=dword:00000001
Перезапустите средство просмотра событий. Была такая же проблема, погуглил и нашел ответ.
«Средство просмотра событий не было перезапущено с тех пор, как вы добавили запись EventMessageFile в реестр. Средство просмотра событий кэширует загружаемые библиотеки DLL для источников событий. Если вы изменили реестр, чтобы указать правильный каталог или имя источника после запуска средства просмотра событий, вы необходимо перезапустить средство просмотра событий ". -ref: см. пункт 6 https://support.microsoft.com/en-us/help/166902/howto-troubleshooting-the-event-message-not-found-message
Отсутствующие идентификаторы событий можно легко добавить с помощью команды командной строки EventCreate. Более подробную информацию можно найти на сайте https://technet.microsoft.com/en-us/library/bb490899.aspx.