Erreur lors de l’activation du journal des événements d’analyse ou de débogage : l’opération demandée ne peut pas être effectuée sur un canal direct activé. Le canal doit d’abord être désactivé avant d’effectuer l’opération demandée.

Cet article permet de corriger une erreur qui se produit lorsque vous activez l’analyse ou le journal des événements de débogage.

Version du produit d’origine :   Windows Server 2012 R2
Numéro de la base de connaissances initiale :   2488055

Symptômes

Vous pouvez recevoir l’erreur suivante lorsque vous tentez d’activer ou de modifier les propriétés d’un observateur d’événements de connexion d’événement d’analyse ou de débogage :

Erreur de requête
Un ou plusieurs journaux de la requête comportent des erreurs.
L’opération demandée ne peut pas être effectuée sur un canal direct activé. Le canal doit d’abord être désactivé avant d’effectuer l’opération demandée.

L’opération demandée ne peut pas être effectuée sur un canal direct activé

Lors de la tentative de modification avec l’outil wevtutil, le message d’erreur suivant peut s’afficher :

Échec de l’activation du canal.
Échec de l’enregistrement de la configuration ou de l’activation du journal <log name> .
L’opération demandée ne peut pas être effectuée sur un canal direct activé. Le canal doit d’abord être désactivé avant d’effectuer l’opération demandée.

Vous devez d’abord sélectionner Afficher, afficher les journaux d’analyse et de débogage dans l’observateur d’événements pour afficher les journaux d’analyse et de débogage dans l’observateur d’événements. Par exemple, le journal d' activité WMI (nom complet Microsoft-Windows-WMI-Activity/trace) se trouve dans les applications et les services Logs\Microsoft\Windows\WMI-Activity\Trace.

Cause

Pour les journaux d’analyse et de débogage, l’observateur d’événements n’autorise pas les événements à être interrogés ou affichés si le journal est activé et qu’il a remplacé les événements si nécessaire (les événements les plus anciens en premier) .

Ce n’est pas le cas pour les journaux administratifs et opérationnels, tels que les journaux système, d’application et de sécurité, qui peuvent être affichés lors du remplacement des événements si nécessaire (les événements les plus anciens en premier) sont configurés.

Les journaux d’analyse et de débogage par défaut sont configurés pour les événements ne pas remplacer (effacer les journaux manuellement). Pour la journalisation circulaire où les anciens événements sont ignorés lorsque la taille maximale du journal est atteinte, activez les événements de remplacement si nécessaire (les événements les plus anciens en premier).

La journalisation a lieu même si cette erreur est affichée. L’erreur signifie simplement que vous ne pouvez pas afficher les événements qui sont en cours de journalisation.

Résolution

Vous pouvez afficher un journal d’analyse ou de débogage s’il est activé tant que vous ne définissez pas d' événements de remplacement si nécessaire dans l’observateur d’événements, qui est configuré dans wevtutil à l’aide de /retention:false ou /rt:false . Si vous définissez des événements de remplacement si nécessaire ( /retention:false ) parce que vous avez besoin d’une journalisation circulaire, vous devez d’abord désactiver ce journal avant de pouvoir afficher les événements. Par exemple, pour utiliser l’outil wevtutil afin d’activer le journal d’activité WMI, définissez les événements de remplacement si nécessaire et modifiez la taille sur 150 Mo (la valeur par défaut est 1024 Ko) vous pouvez exécuter la commande suivante :

wevtutil set-log "Microsoft-Windows-WMI-Activity/Trace" /enabled:false
wevtutil set-log "Microsoft-Windows-WMI-Activity/Trace" /enabled:true /quiet:true /retention:false /maxsize:153600

Une fois le problème reproduit, désactivez le journal et exportez-le pour révision.

wevtutil set-log "Microsoft-Windows-WMI-Activity/Trace" /enabled:false
wevtutil export-log "Microsoft-Windows-WMI-Activity/Trace" %temp%\%computername%_WMI-Activity.evtx