Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A nyomkövetés a Windows eseménykövetését (ETW) használja. A Windows Server 2008 R2-ben elérhető nyomkövetési eszközök előnyeinek kihasználásához telepítse a Microsoft Windows SDK-t.
Három nyomkövetési szint támogatott:
- Részletes (minden elérhető nyomkövetés).
- Információ (információs nyomkövetések).
- Hiba (hibakövetések).
A rendszer a következő eseményeket követi nyomon:
- Bármilyen hiba (Level=Error, Level=Info vagy Level=Verbose).
- API-k be- és kilépése (Level=Info vagy Level=Verbose).
- Bármely IO indítása és befejezése (Szint=Információ vagy Szint=Részletes)
- Exchanged SOAP-üzenetek (Level=Verbose, windows 2003 SP1 és újabb verziókban érhető el)
WWSAPI-nyomkövetések létrehozása és megtekintése
A WWSAPI a Jegyzékalapú eseményeket használja Windows Vista és újabb rendszereken. Ennek eredményeképpen a nyomkövetési felület az operációs rendszer verziójától függően néhány különbséget mutat. Az ETW-nyomkövetések létrehozása az összes támogatott platform beépített ETW-eszközeivel végezhető el. Az ETW-nyomkövetések szép formátumban való megtekintéséhez azonban egyéni eszközökre van szükség a Windows XP SP2 és a Windows 2003 SP1 rendszeren. Az operációs rendszer verziójától függően a WWSAPI ETW-eseménykövetések gyűjtésének és megtekintésének néhány különböző módja van.
WWSAPI-nyomkövetések engedélyezése és megtekintése az Event Viewerben (Windows Vista és újabb rendszereken működik)
- Futtassa az eventvwr.msc parancsot a parancssorból vagy a futtatási menüből.
- Kattintson a jobb oldali Műveletek panel nézethivatkozására, és engedélyezze az Elemzési és hibakeresési naplók megjelenítése lehetőséget.
- A bal oldali panelen keresse meg az Alkalmazás- és szolgáltatásnaplók\Microsoft\Windows\WebServices szolgáltatókat.
- Kattintson a jobb egérgombbal a nyomkövetési szolgáltatóra, és válassza az Engedélyezze a regisztrálást lehetőséget.
- Futtassa a forgatókönyvet.
- Az eseménymegjelenítő oldal frissítésekor el kell kezdenie látnia a WWSAPI nyomkövetési bejegyzéseket.
WWSAPI-nyomkövetések engedélyezése és megtekintése Wstrace.bat szkripttel (XPSP2 és újabb verziókon működik)
A wstrace.bat kötegfájl kényelmes módot kínál a következőkre:
- Nyomkövetési napló létrehozása
- Nyomkövetési napló törlése
- Nyomkövetés engedélyezése és letiltása
- A nyomkövetési szint frissítése (info/error/verbose)
- Nyomkövetési naplók konvertálása CSV-fájlokká
A kötegfájl minden parancshoz logman.exe használ, kivéve a naplók CSV-fájllá való konvertálását, amelyhez egyéni eszközre (wstracedump.exe) van szükség.
Nyomkövetési parancsok használata
A következő parancs létrehoz egy naplót, amely adatokat, hibákat vagy részletes szintet használ. Ez a parancs emelt szintű jogosultságokat igényel.
wstrace.bat készít [információ | hiba | részletes]
Az alábbi parancs törli a naplót. Ez a parancs emelt szintű jogosultságokat igényel.
wstrace.bat töröl
Az alábbi parancs engedélyezi a nyomkövetést. Először létre kell hoznia egy naplót.
wstrace.bat a
A nyomkövetési szint (információ, hiba vagy részletes) az alábbiak szerint módosítható:
wstrace.bat frissítés [információ | hiba | részletes]
A nyomkövetési kimenet kiírásához használja a következő parancsot:
wstrace.bat memóriakép > temp.csv
Az események a CSV-fájlba kerülnek, amíg Ctrl-C nem lesz lenyomva, vagy a nyomkövetés le nem tiltva.
Nyomkövetési fájlformátum
A wstrace.bat által létrehozott CSV-fájlok egyszerű vesszővel tagolt változó szövegfájlok. Ezek a fájlok megnyithatók az Excelben, a Jegyzettömbben stb.
A fájl oszlopai a következők:
- TimeStamp – Az esemény rögzítésének időbélyege
- ProcessID – Az eseményt rögzítő folyamat ULONG-azonosítója
- ThreadID – Az eseményt rögzítő szál ULONG azonosítója
- Esemény – Az eseménytípus enumerált értéke lehet ("api enter" | "api pending" | "api ExitSyncSuccess" | "api ExitSyncFailure" | "api ExitAsyncSuccess" | "api ExitAsyncFailure" | "io started" | "io completed" | "io failed" | "error" | "fogadott üzenet kezdete" | "fogadott üzenet" | "fogadott üzenet leállítása" | "üzenetküldés kezdete" | "üzenet küldése" | "üzenetküldés leállítása")
- Művelet – A meghívandó művelet neve. Ez általában a meghívott API-nak felel meg.
- Hiba – Nem kötelező HRESULT hibaszám
- Információ – Nem kötelező információk az eseményről
WWSAPI ETW nyomkövetési fájl gyűjtése ETW-eszközökkel (XPSP2 és újabb verziókon működik)
Az ETW-nyomkövetés engedélyezése a WWSAPI-hoz
logman start wstrace -bs 64 -ft 1 -rt -p Microsoft-Windows-WebServices [flags [level]] [-o <EtlLogFileName>] -ets
az ETW nyomkövetési munkamenetének létrehozásához és elindításához. Logman.exe egy beépített ETW-eszköz, amely minden támogatott platformon elérhető. Vegye figyelembe, hogy az XPSP2 és a W2K3 szolgáltatónévként Microsoft_Windows_WebServices kell használnia. A regisztrált szolgáltatók listájának megtekintéséhez logman-lekérdezésszolgáltatókat futtathat. A Microsoft-Windows-WebServices (vagy Microsoft_Windows_WebServices) szolgáltató csak akkor szerepelhet a listán, ha nincs regisztrálva. A szolgáltató általában regisztrálva van a beállítás során. Azonban manuálisan is regisztrálható wevtutil.exe im <ManifestFileName> (Windows Vista és Újabb rendszeren) vagy mofcomp.exe <MofFileName> (XPSP2 és W2K3 rendszeren).
A jelzők a nyomkövetések típusuk szerinti szűrésére használhatók. Ez a következő nyomkövetési típusok VAGY-értéke lehet. Ha nincs megadva, minden nyomkövetési típus engedélyezve van.
- 0x1 – API-belépési/kilépési nyomkövetések.
- 0x2 – Hibakeresések.
- 0x4 – Be-/kimeneti nyomok.
- 0x8 – SOAP-üzenetek nyomkövetése.
- 0x10 – Bináris üzenetkövetések.
A szint használható a nyomok szint szerinti szűrésére. Az alábbi értékek egyikének kell lennie. Ha nincs megadva, minden nyomkövetési szint engedélyezve van.
- 0x1 - Végzetes nyomok.
- 0x2 – Hibakeresések.
- 0x3 – Figyelmeztető nyomok.
- 0x4 – Információs nyomkövetések.
- 0x5 – Részletes nyomkövetések.
Az EtlLogFileName a létrehozandó ETW eseménynapló-fájl elérési útja (használja az .etl kiterjesztést). Ha nincs megadva, az ETW kiválaszt egy véletlenszerű nevet, amely később lekérdezhető. Ez a fájl nem lehet a felhasználó profilkönyvtárában. Az ETW eseménynaplófájlja (.etl fájl) bináris formátumban van. ETW-alkalmazások is fogyaszthatják, de nem ember számára olvasható formátumban van. A következő lépés a tartalom megtekintését ismerteti.
A forgatókönyv futtatása
ETW eseménynapló-fájl gyűjtése.
logman stop wstrace -ets
az ETW nyomkövetési munkamenetének leállításához. Ekkor az ETW leállítja az események naplózását. Az EtlLogFileName paraméterben megadott ETW eseménynapló-fájl készen áll a használatra. Megtekinthető helyileg (az utasításokat alább találja), vagy elküldheti a termékcsoportnak vizsgálat céljából.
Teljes körű példa az ETW eszközökkel:
logman start wstrace -bs 64 -ft 1 -rt -p Microsoft-Windows-WebServices -o mytrace.etl -ets
visszhang .. futtasd a te forgatókönyvedet.
logman stop wstrace -ets
tracerpt mytrace.etl -o mytrace.xml
wstrace.htm
visszhang .. a megnyitott lapon használja a mytrace.xml és a wstrace.xsl fájlt.
WWSAPI ETW nyomkövetési fájlok megtekintése a wstracedump.exe eszközzel (Windows XP és újabb rendszereken működik)
Wstracedump.exe egy egyéni fejlesztésű ETW fogyasztói eszköz, amely feldolgozza a WWSAPI ETW nyomkövetési fájljában lévő eseményeket, és emberileg olvasható kimenetet hoz létre. Az összes támogatott platform kimenetét képes előállítani. További információért tekintse meg a használatot (wstracedump.exe -?).
WWSAPI ETW nyomkövetési fájlok nyomkövetésének megtekintése ETW-eszközökkel (Windows Vista és újabb rendszereken működik)
Tracerpt.exe egy ETW eseménynapló-fájl tartalmának megtekintésére szolgáló eszköz, amely minden támogatott platformon elérhető. CSV-, EVTX- vagy XML-memóriaképfájlokat hozhat létre egy ETW eseménynapló-fájlból. A létrehozott kimeneti fájl azonban csak Windows Vista és újabb rendszereken olvasható emberi nyomkövetésekkel rendelkezik. Ezek az utasítások bemutatják, hogyan hozhatja létre az XML-memóriaképfájlt, és hogyan használhatja xsl-fájllal együtt a nyomkövetések szép formátumban való megjelenítésére (az xsl fájl nagyon triviális, és más formátumok esetén módosítható).
Fut
tracerpt <EtlLogFileName> -o <OutputXMLFileName>
XML-memóriakép létrehozásához a bináris ETL-fájlból (tracerpt.exe alapértelmezés szerint XML formátumban hozza létre a kimeneti fájlt. Tracerpt futtatása –? További elérhető formátumok megtekintése).
Ekkor láthatja a nyomkövetési információkat az XML-fájlban. Emellett megnyithatja a wstrace.htm fájlt, és használhatja az xml memóriaképfájlt és a wstrace.xsl fájlt a nyomkövetések szebb formátumban való megtekintéséhez. Vegye figyelembe, hogy a fájloknak a helyi gépen kell lenniük ahhoz, hogy használni tudják ezt a HTML-fájlt az IE-n.
Biztonság
A nyomkövetés engedélyezésekor a rendszergazdáknak figyelembe kell venniük, hogy további lemezterületet és számítási teljesítményt használnak fel. Egy rosszindulatú ügyfél vagy alkalmazás kimerítheti a rendszer erőforrásait, kivéve, ha a nyomkövetési beállítások ésszerű korlátozásokkal vannak konfigurálva. Üzenetkövetési funkció használata esetén a bizalmas adatokat, például hitelesítő adatokat, személyes adatokat stb. tartalmazó üzeneteket a lemezen tárolhatja, vagy bárki megtekintheti, aki hozzáfér a rendszeresemény-megjelenítőhöz. A probléma enyhítéséhez a nyomkövetést a rendszer vagy rendszergazda felhasználók engedélyezhetik a Windows 2003-as és újabb rendszereken. Az üzenetkövetés le van tiltva Windows XP rendszeren, amelyen bármely felhasználó bekapcsolhatja a nyomkövetést.
A nyomkövetés a következő enumerálást használja: