答案1
抱歉,我没有确定的答案,但我无法在 2008 和 2012r2 上重现此问题 - Microsoft 下的所有日志都有可编辑选项。我检查过的任何 PC 上都没有这样的日志文件夹。让人不禁想知道到底是什么创建了所有这些。标准“Microsoft”下的小写“microsoft”对我来说是一个危险信号。
值得一提的是,所有 Microsoft 事件都在 下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels
。每个事件都有一个Enable
选项,因此您可以直接修改该选项以启用日志。您的选项呈灰色,这让我认为这是注册表权限问题或 ChannelAccess 权限问题(每个日志都定义了一个 Windows 权限字符串,这对我来说是新鲜事,因为事件日志不公开任何权限 UI)。我还将尝试使用 PsExec 以 SYSTEM 身份运行 eventvwr.exe。
您截屏的那个特定日志的日志路径应该是%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx
。我还会检查该文件夹中的权限(以及实际文件)是否完好无损。不知道是什么原因导致它显示“不可用”。此路径未存储在注册表中,或者至少没有以明显的方式存储,这使其更加奇怪。
答案2
最近在计算机上的应用程序、安全和系统事件日志中遇到了这个问题,在这些计算机上,我们有一个脚本应用AutoBackupLogFiles
和Flags
DWORD 到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application
、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\System
和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security
。出于某种原因,一些计算机将这些值显示为字符串而不是 DWORD。如果将任何一个值设置为字符串,事件日志属性将显示不可用的路径,并且您将无法调整任何选项。
删除注册表标志和/或 AutoBackupLogFiles 字符串项并替换为类似的 DWORD 项应该可以解决该问题。