- 工信部备案号 滇ICP备05000110号-1
- 滇公安备案 滇53010302000111
- 增值电信业务经营许可证 B1.B2-20181647、滇B1.B2-20190004
- 云南互联网协会理事单位
- 安全联盟认证网站身份V标记
- 域名注册服务机构许可:滇D3-20230001
- 代理域名注册服务机构:新网数码
相关文章
国信办再关闭31家违规网站 云南省2019年国家网络安全周在丽江启动,蓝队云获颁“最佳技术支持奖” 云南公布第二批免费向社会提供信息技术服务企业名单 英特尔计划在中国打造物联网国际品牌 中国互联网企业赴美上市规模预计今年或减半
帮助中心 >
技术知识库 >
云服务器 >
服务器教程 >
解决 ”Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstan“
解决 ”Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstan“
2024-11-18 17:30:21
194
欢迎来到蓝队云技术小课堂,每天分享一个技术小知识。
问题:
Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstan
一、原因和影响
1. 触发原因
WMI 存储库损坏:WMI 数据库损坏可能导致查询失败。
无效事件过滤器:一些第三方软件或脚本创建了错误的 WMI 事件过滤器。
权限问题:某些用户账户缺少访问 WMI 命名空间的权限。
操作系统问题:WMI 服务相关文件损坏或系统补丁缺失。
2. 常见影响
性能监控工具无法正常运行。
防病毒软件、备份工具或系统监控工具可能无法正常工作。
事件查看器反复记录相同的报错,导致日志文件占用大量磁盘空间。
二、详细修复步骤
1. 分析错误日志
在事件查看器中(Windows Logs > Application 或 Windows Logs > System),找到该错误的具体来源。通常会指明:
出问题的 WMI 命名空间(例如 root\\\\subscription 或 root\\\\cimv2)。
具体的事件过滤器或脚本。 通过日志记录的信息,定位问题的根本原因。
2. 修复 WMI 存储库
WMI 存储库是 WMI 服务的核心。以下步骤可用来修复或重建存储库:
(1)验证存储库完整性
winmgmt /verifyrepository
输出结果:
Repository is consistent:存储库正常。
Repository is inconsistent:存储库损坏。
(2)尝试修复存储库
winmgmt /salvagerepository
(3)重建存储库 如果修复失败,重建存储库:
net stop winmgmt
del %windir%\\\\system32\\\\wbem\\\\Repository
net start winmgmt
注意:重建存储库可能会导致部分服务失效,需要重新注册 WMI 提供程序。
3. 删除无效事件过滤器
打开 wbemtest 工具:
在 运行 窗口中输入 wbemtest。
点击 Connect,输入命名空间 root\\\\subscription,点击 Connect。
点击 Enum Instances,输入类名 __EventFilter。
检查列出的事件过滤器,定位可能的无效过滤器。
如果确定某个过滤器无效,使用 Delete Object 按钮删除。
4. 注册和修复 WMI 文件
重新注册 WMI 服务所需的 DLL 文件:
for %i in (%windir%\\\\system32\\\\wbem\\\\*.dll) do regsvr32 /s %i
重建 WMI 的 MOF 文件:
mofcomp %windir%\\\\system32\\\\wbem\\\\wbemcons.mof
mofcomp %windir%\\\\system32\\\\wbem\\\\wmicore.mof
5. 重启 WMI 服务
如果问题未解决,可以尝试重启 WMI 服务以及依赖的相关服务:
net stop winmgmt
net start winmgmt
提示:如果 WMI 服务依赖于其他服务(如 Security Center 或 Windows Firewall),需要先重启依赖的服务。
6. 检查系统文件完整性
系统文件损坏可能间接导致 WMI 出现问题,使用以下命令检查并修复:
sfc /scannow
如果问题依然存在,可以使用以下命令修复系统组件:
DISM /Online /Cleanup-Image /RestoreHealth
7. 更新操作系统与软件
确保系统安装了最新的更新补丁。
升级或重新安装第三方软件(如监控工具、防病毒软件),以避免重复创建无效事件过滤器。
三、额外优化
1. 清理 WMI 日志
打开 Event Viewer。
找到日志位置:Applications and Services Logs > Microsoft > Windows > WMI-Activity。
清理旧的错误日志,避免系统性能受影响。
2. 监控与预防
定期检查 WMI 的健康状态:
winmgmt /verifyrepository
使用性能监控工具(如 PerfMon)观察 WMI 的负载和性能。
四、总结
修复 "Event filter with query" 报错需要明确问题来源,再采取对应的修复措施。通常,从修复存储库、删除无效事件过滤器开始可以快速解决大部分问题。如果问题涉及系统文件损坏或第三方软件,可能需要进行更深层次的排查。
蓝队云作为专业的云计算及网络安全服务商,官网上拥有完善的技术支持库可供参考,大家可自行查阅,更多技术问题,可以直接咨询。同时,蓝队云整理了运维必备的工具包免费分享给大家使用,需要的朋友可以直接咨询。
更多技术知识,蓝队云期待与你一起探索。
