Compartir a través de

Seguimiento de la actividad de WMI

  • Artículo

A partir de Windows Vista, el servicio WMI no usa los archivos de registro de WMI. Alternativamente, usa el Seguimiento de eventos para Windows (ETW) y los eventos están disponibles a través del Visor de eventos o la herramienta de línea de comandos Wevtutil.

En este tema se describen las secciones siguientes:

Obtener eventos de WMI a través del Visor de eventos

El archivo WMITracing.log contiene los eventos de los cuales WMI realiza el seguimiento. Sin embargo, se trata de un archivo binario. Para ver estos eventos en un formato legible para los usuarios, use el Visor de eventos.

De forma predeterminada, no se hace seguimiento de los eventos de WMI. Este procedimiento describe cómo utilizar el Visor de eventos para habilitar el seguimiento de eventos y localizar los eventos de WMI. Puede realizar las mismas operaciones a través de la herramienta de línea de comandos wevtutil.

Para ver eventos de WMI en el Visor de eventos

  1. Abra Visor de eventos. En el menú Vista, haga clic en Mostrar registros analíticos y de depuración. Busque el registro del canal de Seguimiento para WMI en Registros de aplicaciones y servicios | Microsoft | Windows | Actividad WMI.
  2. Haga clic con el botón derecho en el registro de Seguimiento y seleccione Propiedades del registro. Haga clic en la casilla Habilitar registro para iniciar el seguimiento de eventos de WMI. Para obtener más información sobre los canales, consulte Registros de eventos y canales en el registro de eventos de Windows.
  3. Los eventos de WMI aparecen en la ventana de eventos para WMI-Activity. Haga doble clic en un evento de la lista para ver la información detallada. Puede ver un evento en vista XML o en formato de vista descriptiva.

El campo Id. de evento muestra un valor que contiene la siguiente información.

Evento 1

Inicio de la secuencia de eventos para una operación específica. Una repetición para cada secuencia.

Los campos de evento de un evento 1 son:

  • GroupOperationID es un identificador único que se usa para todos los eventos notificados para un cliente específico.
  • OperationId indica la secuencia de la operación.
  • Operation especifica la conexión o solicitud a WMI.
  • User indica la cuenta que realiza una solicitud a WMI mediante la ejecución de un script o a través de CIM Studio.
  • Namespace muestra el espacio de nombres de WMI al que se realiza la conexión.

Por ejemplo, un script puede solicitar todas las instancias de una clase WMI, como Win32_Service. La primera operación puede ser una conexión a WMI.

Evento 2

Eventos que componen la operación. Una o varias apariciones en la secuencia.

Los campos de evento de un evento 2 son:

  • GroupOperationID indica la secuencia en la que se produce el evento.
  • GroupOperationID indica la secuencia en la que se produce el evento.
  • ProviderName indica el nombre del proveedor que proporciona los datos.
  • Path es la ruta de acceso de WMI al objeto.

Por ejemplo, la operación puede ser una enumeración de Win32_Service.

Evento 3

Fin de la secuencia de eventos para una operación específica. Una repetición para cada secuencia.

Solo se muestra GroupOperationID.

Habilitar el seguimiento de WMI en el símbolo del sistema

También puede habilitar el seguimiento de eventos de WMI a través de la herramienta de línea de comandos Wevtutil. Use el siguiente comando: Wevtutil.exe sl Microsoft-Windows-WMI-Activity/Trace /e:true. El origen del evento de WMI es Microsoft-Windows-WMI. Para obtener más información sobre Wevtutil.exe, consulte Acerca del registro de eventos de Windows.

Usar el seguimiento de WMI basado en WPP

En los sistemas operativos Windows a partir de Windows Vista, WMI crea un canal de seguimiento activo durante el proceso de arranque. El nombre del canal es WMI_Trace_Session. Solo se registran errores en el canal.

El preprocesador de seguimiento de software de Windows (WPP) registra información en un archivo binario. Para leer el archivo, primero debe traducirlo a un formato de texto legible. Se usa una herramienta denominada tracefmt.exe del Kit para controladores de Windows (WDK) para realizar la traducción. La herramienta requiere información almacenada en algunos archivos asociados. Los archivos se encuentran en el directorio %SystemRoot%\System32\wbem\tmf y tienen una extensión de nombre de archivo .tmf. La herramienta, en realidad, requiere un único archivo .tmf. Para crear ese único archivo, se concatenan todos los archivos .tmf en otro archivo .tmf. Para obtener más información sobre los archivos .tmf, consulte Archivo de formato de mensaje de seguimiento.

Después de instalar el Kit para controladores de Windows (WDK) para obtener las herramientas de línea de comandos tracelog.exe y tracefmt.exe, siga estos pasos para recopilar un seguimiento de WMI basado en WPP.

Para ver un seguimiento de WMI basado en WPP

  1. Para crear el único archivo .tmf, abra una ventana del símbolo del sistema con privilegios elevados y vaya al directorio %SystemRoot%\System32\wbem\tmf.

  2. Escriba copy /y %SystemRoot%\System32\wbem\tmf\*.tmf %SystemRoot%\System32\wbem\tmf\wmi.tmf. Esta acción creará un archivo denominado wmi.tmf que incluye el contenido de todos los demás archivos .tmf.

  3. Escriba tracelog -flush WMI_Trace_Session. Esta acción vaciará los búferes de WPP en el disco.

  4. Escriba set TRACE_FORMAT_PREFIX = [%9!d!]%8!04X!.%3!04X!.%3!04X!::%4!s![%1!s!](%!COMPNAME!:%!FUNC !:%2!s!). La herramienta tracefmt agrega información predeterminada a cada mensaje de seguimiento. Puede configurar qué información se incluye estableciendo la variable de entorno TRACE_FORMAT_PREFIX. Para obtener información sobre la sintaxis usada, consulte Prefijo de mensaje de seguimiento.

  5. Escriba tracefmt -tmf %systemroot%\system32\wbem\tmf\wmi.tmf -o OUTPUT.TXT %systemroot%\system32\wbem\logs\WMITracing.log. Esta acción realiza la traducción del formato binario al formato de texto legible.

  6. Escriba notepad %systemroot%\system32\wbem\tmf\OUTPUT.TXT. Se abrirá el archivo de seguimiento en el Bloc de notas.

A continuación se muestran algunas otras tareas relacionadas con WPP que es posible que deba realizar.

Para detener el seguimiento de WMI basado en WPP

  • Escriba tracelog -stop WMI_Trace_Session.

Para iniciar el seguimiento de WMI basado en WPP

  • Escriba tracelog -start WMI_Trace_Session -guid #1FF6B227-2CA7-40f9-9A66-980EADAA602E -rt -level 5 -flag 0x7 -f MYTRACE. BIN

Windows Vista: De forma predeterminada, el seguimiento de WMI basado en WPP se establece en el nivel 2, que incluye solo los mensajes de error. Para incluir también mensajes informativos, establezca el nivel en 4. Se realiza un seguimiento de todas las áreas de WMI de forma predeterminada. Hay tres áreas distintas de las cuales se puede realizar el seguimiento: Core (flag=0x1), ESS (flag=0x2) y Prov (flag=0x4). En el comando de inicio anterior, flag 0x7 hace que se realice el seguimiento de las tres áreas.

Windows 7: de forma predeterminada, el seguimiento de WMI basado en WPP está deshabilitado y se establece en el nivel 0. Para usar el seguimiento de WMI basado en WPP, esta característica debe habilitarse y establecerse en el nivel 2 para los mensajes de error o en el nivel 4 para los mensajes de error e informativos.

Para enumerar todas las sesiones de seguimiento de WPP

  • Escriba tracelog -l.

Para mostrar información sobre la sesión de seguimiento de WPP de WMI

  • Escriba tracelog -l | findstr /i "wmi_trace".

Para ver los parámetros de sesión de seguimiento de WPP de WMI

  • Escriba tracelog -q WMI_Trace_Session.

Solución de problemas de WMI

Archivos de registro de WMI