Вопрос или проблема
Мне нужно устранить неполадки с авариями WMI, которые мы испытываем. К сожалению, в журнале событий не отображаются никакие детали, так как описания отсутствуют. Вот что говорит журнал:
Не удалось найти описание для идентификатора события 5612 от источника **Microsoft-Windows-WMI**. Либо компонент, который вызывает это событие, не установлен на вашем локальном компьютере, либо установка повреждена. Вы можете установить или восстановить компонент на локальном компьютере.
Если событие произошло на другом компьютере, информация для отображения должна была быть сохранена вместе с событием.
Следующая информация была включена в событие:
HandleCount
4116
4096
10508
Я уже прошел по статье базы знаний Microsoft о том, как устранить проблему “сообщение события не найдено” (https://support.microsoft.com/en-us/kb/166902), но безрезультатно.
Ключ реестра EventMessageFile в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Application\**WMI.NET Provider Extension** указывает на C:\Windows\Microsoft.NET\Framework64\v4.0.30319\EventLogMessages.dll, который существует.
Сравнение ключей реестра с системой, где этот идентификатор события отображается корректно, не выявляет никаких различий. Также EventLogMessages.dll имеет ту же версию и контрольную сумму.
Правильно ли я смотрю на нужный ключ реестра?
Путь HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Application\WinMgmt содержит только ключ с именем ProviderGuid. Но это, похоже, в порядке, так как описания отображаются на системе с тем же (и только этим) ключом.
[ИЗМЕНИТЬ]
На самом деле, я смотрел не на те ключи реестра. Правильный ключ для поиска – это HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Application\Microsoft-Windows-WMI, который был полностью отсутствующим. Также отсутствовал ключ с именем Enabled и подкаталоги ChannelReferences, которые отсутствовали в конфигурации провайдера, которая находится в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{1edeee53-0afe-4609-b846-d8c0b2075b1f}.
Добавление этих ключей дало возможность событиям WMI отображаться корректно. Однако это длилось только до перезагрузки системы. Теперь ключи реестра присутствуют, как и должны быть, но по-прежнему нет правильного отображения событий… есть какие-нибудь идеи?
Это мои точные настройки реестра, которые я экспортировал из рабочей системы:
Редактор реестра Windows Версия 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Application\Microsoft-Windows-WMI]
"ProviderGuid"="{1edeee53-0afe-4609-b846-d8c0b2075b1f}"
"EventMessageFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,\
00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,\
5c,00,77,00,62,00,65,00,6d,00,5c,00,57,00,69,00,6e,00,4d,00,67,00,6d,00,74,\
00,52,00,2e,00,64,00,6c,00,6c,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{1edeee53-0afe-4609-b846-d8c0b2075b1f}]
@="Microsoft-Windows-WMI"
"ResourceFileName"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,\
00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,\
5c,00,77,00,62,00,65,00,6d,00,5c,00,57,00,69,00,6e,00,4d,00,67,00,6d,00,74,\
00,52,00,2e,00,64,00,6c,00,6c,00,00,00
"MessageFileName"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,\
6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,\
00,77,00,62,00,65,00,6d,00,5c,00,57,00,69,00,6e,00,4d,00,67,00,6d,00,74,00,\
52,00,2e,00,64,00,6c,00,6c,00,00,00
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{1edeee53-0afe-4609-b846-d8c0b2075b1f}\ChannelReferences]
"Count"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{1edeee53-0afe-4609-b846-d8c0b2075b1f}\ChannelReferences\0]
@="Application"
"Id"=dword:00000009
"Flags"=dword:00000001
Отсутствующие идентификаторы событий можно легко добавить с помощью команды EventCreate в командной строке. Дополнительную информацию можно найти по адресу https://technet.microsoft.com/en-us/library/bb490899.aspx.
Перезапустите Просмотр событий. У меня была та же проблема, я погуглил это и нашел ответ.
“Просмотр событий не был перезапущен с тех пор, как вы добавили запись EventMessageFile в реестр. Просмотр событий кэширует DLL, которые он загружает для источников событий. Если вы изменили реестр, чтобы указать правильный каталог или имя источника после того, как просмотрщик событий был запущен, вам нужно перезапустить Просмотр событий.” -ссылка: см. пункт #6 https://support.microsoft.com/en-us/help/166902/howto-troubleshooting-the-event-message-not-found-message
Измените формат на События с RenderedText
wecutil es
wecutil ss “subscription” /cf:Events
Ответ или решение
Как устранить ошибку: Описание события ID %i из источника %s не может быть найдено?
При работе с WMI (Windows Management Instrumentation) иногда можно столкнуться с проблемой, когда журнал событий Windows не отображает сообщения, связанные с определёнными событиями. Вместо этого появляется сообщение: "Описание для события ID 5612 из источника Microsoft-Windows-WMI не может быть найдено". Это может помешать диагностике сбоев WMI. Мы рассмотрим различные способы решения данной проблемы.
Признаки проблемы
Сообщение об ошибке может указывать на отсутствие установленных компонентов или их повреждение. Основные признаки включают:
- Исключение комментариев и описаний событий в журнале.
- Неверные или отсутствующие настройки в реестре.
Шаги по устранению проблемы
-
Проверка наличия файла EventLogMessages.dll
Убедитесь, что по адресу, указанному в реестре, действительно существует файлEventLogMessages.dll. По умолчанию он должен находиться вC:\Windows\Microsoft.NET\Framework64\v4.0.30319\. -
Проверка реестра
Вам следует проверить ключи в реестре:- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Application\Microsoft-Windows-WMI
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers{1edeee53-0afe-4609-b846-d8c0b2075b1f}
Важные параметры, которые должны быть настроены:
- EventMessageFile: должен указывать на
EventLogMessages.dll. - Enabled: должен иметь значение 1.
- ChannelReferences: обязательные подкатегории для правильной работы.
-
Восстановление отсутствующих ключей
Если ключи отсутствуют, вы можете добавить их вручную. Скопируйте правильные значения из рабочей системы. Убедитесь, что вы вводите их точно, чтобы избежать синтаксических ошибок. -
Перезапуск просмотрщика событий
Очень важно перезапустить Event Viewer после внесения изменений в реестр. Кэширование DLL может препятствовать отображению обновлённых событий. Перезапустите Event Viewer, чтобы обновить кэш. -
Обновление WMI
Иногда проблема может быть связана с повреждением WMI. Вы можете попытаться перерегистрировать WMI. Для этого выполните следующие команды в командной строке с правами администратора:winmgmt /salvagerepository winmgmt /resetrepository -
Использование командной строки для добавления новых событий
В случае отсутствия событий, вы можете воспользоваться командойEventCreateдля их добавления. Более подробную информацию можно найти в документации Microsoft. -
Изменение формата отображения событий
Если проблема сохраняется, вы можете попробовать изменить формат отображения событий. Для этого выполните следующее:wecutil es wecutil ss "subscription" /cf:Events -
Проверка журналов приложений
Обратите внимание на другие журналы приложений. Иногда ошибки могут проявляться в других связанных компонентах.
Заключение
Если вы следовали всем вышеперечисленным шагам, но проблема всё еще сохраняется, рекомендуется обратиться в службу поддержки Microsoft или к профессионалам в области IT. Важно поддерживать актуальность системного программного обеспечения и периодически проводить диагностику для предотвращения сбоев.