咨询热线:4006-75-4006

售前:9:00-23:30    备案:9:00-18:00    技术:7*24h

解决 ”Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstan“

2024-11-18 17:30:21 355次

欢迎来到蓝队云技术小课堂,每天分享一个技术小知识。


问题:

Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstan

 

一、原因和影响

1. 触发原因

WMI 存储库损坏:WMI 数据库损坏可能导致查询失败。

无效事件过滤器:一些第三方软件或脚本创建了错误的 WMI 事件过滤器。

权限问题:某些用户账户缺少访问 WMI 命名空间的权限。

操作系统问题:WMI 服务相关文件损坏或系统补丁缺失。

 

2. 常见影响

性能监控工具无法正常运行。

防病毒软件、备份工具或系统监控工具可能无法正常工作。

事件查看器反复记录相同的报错,导致日志文件占用大量磁盘空间。

 

二、详细修复步骤

1. 分析错误日志

在事件查看器中(Windows Logs > Application 或 Windows Logs > System),找到该错误的具体来源。通常会指明:

出问题的 WMI 命名空间(例如 root\\\\subscription 或 root\\\\cimv2)。

具体的事件过滤器或脚本。 通过日志记录的信息,定位问题的根本原因。

 

2. 修复 WMI 存储库

WMI 存储库是 WMI 服务的核心。以下步骤可用来修复或重建存储库:

1验证存储库完整性

winmgmt /verifyrepository

输出结果:

Repository is consistent:存储库正常。

Repository is inconsistent:存储库损坏。

 

2尝试修复存储库

winmgmt /salvagerepository

 

3重建存储库 如果修复失败,重建存储库:

net stop winmgmt

del %windir%\\\\system32\\\\wbem\\\\Repository

net start winmgmt

 

注意:重建存储库可能会导致部分服务失效,需要重新注册 WMI 提供程序。

 

3. 删除无效事件过滤器

打开 wbemtest 工具:

运行 窗口中输入 wbemtest。

点击 Connect,输入命名空间 root\\\\subscription,点击 Connect。

点击 Enum Instances,输入类名 __EventFilter。

检查列出的事件过滤器,定位可能的无效过滤器。

如果确定某个过滤器无效,使用 Delete Object 按钮删除。

 

4. 注册和修复 WMI 文件

重新注册 WMI 服务所需的 DLL 文件:

for %i in (%windir%\\\\system32\\\\wbem\\\\*.dll) do regsvr32 /s %i

重建 WMI 的 MOF 文件:

mofcomp %windir%\\\\system32\\\\wbem\\\\wbemcons.mof

mofcomp %windir%\\\\system32\\\\wbem\\\\wmicore.mof

 

5. 重启 WMI 服务

如果问题未解决,可以尝试重启 WMI 服务以及依赖的相关服务:

net stop winmgmt

net start winmgmt

提示:如果 WMI 服务依赖于其他服务(如 Security Center 或 Windows Firewall),需要先重启依赖的服务。

 

6. 检查系统文件完整性

系统文件损坏可能间接导致 WMI 出现问题,使用以下命令检查并修复:

sfc /scannow

如果问题依然存在,可以使用以下命令修复系统组件:

DISM /Online /Cleanup-Image /RestoreHealth

 

7. 更新操作系统与软件

确保系统安装了最新的更新补丁。

升级或重新安装第三方软件(如监控工具、防病毒软件),以避免重复创建无效事件过滤器。

 

三、额外优化

1. 清理 WMI 日志

打开 Event Viewer。

找到日志位置:Applications and Services Logs > Microsoft > Windows > WMI-Activity。

清理旧的错误日志,避免系统性能受影响。

 

2. 监控与预防

定期检查 WMI 的健康状态:

winmgmt /verifyrepository

使用性能监控工具(如 PerfMon)观察 WMI 的负载和性能。

 

四、总结

修复 "Event filter with query" 报错需要明确问题来源,再采取对应的修复措施。通常,从修复存储库、删除无效事件过滤器开始可以快速解决大部分问题。如果问题涉及系统文件损坏或第三方软件,可能需要进行更深层次的排查。


蓝队云作为专业的云计算及网络安全服务商,官网上拥有完善的技术支持库可供参考,大家可自行查阅,更多技术问题,可以直接咨询。同时,蓝队云整理了运维必备的工具包免费分享给大家使用,需要的朋友可以直接咨询。

更多技术知识,蓝队云期待与你一起探索。

首页
最新活动
个人中心