Melacak Aktivitas WMI
Dimulai dengan Windows Vista, layanan WMI tidak menggunakan File Log WMI. Sebagai gantinya, ia menggunakan Pelacakan Peristiwa untuk Windows (ETW) dan peristiwa tersedia melalui Pemantau Peristiwa atau alat baris perintah Wevtutil.
Bagian berikut dibahas dalam topik ini:
- Mendapatkan Peristiwa WMI Melalui Pemantau Peristiwa
- Mengaktifkan Pelacakan WMI di Prompt Perintah
- Menggunakan Pelacakan WMI berbasis WPP
- Topik terkait
Mendapatkan Peristiwa WMI Melalui Pemantau Peristiwa
File WMITracing.log berisi peristiwa yang dilacak WMI. Namun, ini adalah file biner. Untuk melihat peristiwa ini dalam format yang dapat dibaca oleh manusia, gunakan Pemantau Peristiwa.
Secara default, peristiwa WMI tidak ditelusuri. Prosedur ini menjelaskan cara menggunakan Pemantau Peristiwa untuk mengaktifkan pelacakan peristiwa WMI dan menemukan peristiwa WMI. Anda dapat melakukan operasi yang sama melalui alat baris perintah wevtutil.
Untuk melihat Peristiwa WMI di Pemantau Peristiwa
- Buka Pemantau Peristiwa. Pada menu Tampilan , klik Tampilkan Log Analitik dan Debug. Temukan log saluran Pelacakan untuk WMI di bawah Aplikasi dan Log Layanan | Microsoft | Windows | Aktivitas WMI.
- Klik kanan log Jejak dan pilih Properti Log. Klik kotak centang Aktifkan Pengelogan untuk memulai pelacakan peristiwa WMI. Untuk informasi selengkapnya tentang saluran, lihat Log Peristiwa dan Saluran di Log Peristiwa Windows.
- Peristiwa WMI muncul di jendela peristiwa untuk WMI-Activity. Klik dua kali peristiwa dalam daftar untuk melihat informasi terperinci. Anda bisa menampilkan peristiwa dalam Tampilan XML atau dalam format Tampilan Ramah.
Bidang ID Peristiwa menampilkan nilai yang berisi informasi berikut.
-
Peristiwa 1
-
Awal urutan peristiwa untuk operasi tertentu. Satu kemunculan untuk setiap urutan.
Bidang peristiwa untuk Peristiwa 1 adalah:
- GroupOperationID adalah pengidentifikasi unik yang digunakan untuk semua peristiwa yang dilaporkan untuk klien tertentu.
- OperationId menunjukkan urutan operasi.
- Operasi menentukan koneksi atau permintaan ke WMI.
- Pengguna menunjukkan akun yang membuat permintaan ke WMI dengan menjalankan skrip atau melalui CIM Studio.
- Namespace memperlihatkan namespace layanan WMI tempat koneksi dibuat.
Misalnya, skrip dapat meminta semua instans kelas WMI, seperti Win32_Service. Operasi pertama mungkin koneksi ke WMI.
-
Peristiwa 2
-
Peristiwa yang membentuk operasi. Satu atau beberapa kemunculan dalam urutan.
Bidang peristiwa untuk Peristiwa 2 adalah:
- GroupOperationID menunjukkan urutan di mana peristiwa terjadi.
- GroupOperationID menunjukkan urutan di mana peristiwa terjadi.
- ProviderName menunjukkan nama penyedia yang menyediakan data.
- Jalur adalah jalur WMI ke objek.
Misalnya, operasi mungkin merupakan enumerasi Win32_Service.
-
Peristiwa 3
-
Akhir urutan peristiwa untuk operasi tertentu. Satu kemunculan untuk setiap urutan.
Hanya GroupOperationID yang ditampilkan.
Mengaktifkan Pelacakan WMI di Prompt Perintah
Anda juga dapat mengaktifkan pelacakan peristiwa WMI melalui alat baris perintah Wevtutil. Gunakan perintah berikut: Wevtutil.exe sl Microsoft-Windows-WMI-Activity/Trace /e:true. Sumber kejadian WMI adalah Microsoft-Windows-WMI. Untuk informasi selengkapnya tentang Wevtutil.exe, lihat Tentang Log Peristiwa Windows.
Menggunakan Pelacakan WMI berbasis WPP
Di sistem operasi Windows yang dimulai dengan Windows Vista, WMI membuat saluran pelacakan aktif selama proses boot. Nama saluran WMI_Trace_Session. Hanya kesalahan yang dicatat ke saluran.
Prapemrosisi pelacakan perangkat lunak Windows (WPP) merekam informasi dalam file biner. Untuk membaca file, Anda harus terlebih dahulu menerjemahkannya ke dalam format teks yang dapat dibaca. Anda menggunakan alat yang disebut tracefmt.exe dari Windows Driver Kit (WDK) untuk melakukan terjemahan. Alat ini memerlukan informasi yang disimpan dalam beberapa file terkait. File terletak di direktori %SystemRoot%\System32\wbem\tmf dan memiliki ekstensi nama file .tmf. Alat ini sebenarnya memerlukan satu file .tmf . Anda membuat file tunggal itu dengan menggabungkan semua file .tmf ke file .tmf lain. Untuk informasi selengkapnya tentang file .tmf, lihat Melacak File Format Pesan.
Setelah menginstal Windows Driver Kit (WDK) untuk mendapatkan alat baris perintah tracelog.exe dan tracefmt.exe, lakukan langkah-langkah berikut untuk mengumpulkan jejak WMI berbasis WPP.
Untuk melihat jejak WMI berbasis WPP
Untuk membuat file .tmf tunggal, buka jendela Prompt Perintah yang ditingkatkan dan navigasikan ke direktori %SystemRoot%\System32\wbem\tmf.
Ketik copy /y %SystemRoot%\System32\wbem\tmf\*.tmf %SystemRoot%\System32\wbem\tmf\wmi.tmf. Ini akan membuat file bernama wmi.tmf yang menyertakan konten semua file .tmf lainnya.
Ketik tracelog -flush WMI_Trace_Session. Ini akan menghapus buffer WPP pada disk.
Set tipe TRACE_FORMAT_PREFIX = [%9!d!] %8!04X!. %3!04X!. %3!04X!::%4!s! [%1!s!] (%! COMPNAME!:%! FUNC !:%2!s!). Alat tracefmt menambahkan beberapa informasi default ke setiap pesan pelacakan. Anda dapat mengonfigurasi informasi apa yang disertakan dengan mengatur variabel lingkungan TRACE_FORMAT_PREFIX. Untuk mempelajari tentang sintaks yang digunakan, lihat Lacak Awalan Pesan.
Ketik tracefmt -tmf %systemroot%\system32\wbem\tmf\wmi.tmf -o OUTPUT.TXT %systemroot%\system32\wbem\logs\WMITracing.log. Ini melakukan terjemahan dari format biner ke format teks yang dapat dibaca.
Ketik notepad %systemroot%\system32\wbem\tmf\OUTPUT.TXT. Ini akan membuka file pelacakan di Notepad.
Berikut ini adalah beberapa tugas terkait WPP lainnya yang mungkin perlu Anda lakukan.
Untuk menghentikan pelacakan WMI berbasis WPP
- Ketik tracelog -stop WMI_Trace_Session.
Untuk memulai pelacakan WMI berbasis WPP
- Ketik tracelog -start WMI_Trace_Session -guid #1FF6B227-2CA7-40f9-9A66-980EADAA602E -rt -level 5 -flag 0x7 -f MYTRACE. BIN
Windows Vista: Secara default, pelacakan WMI berbasis WPP diatur ke tingkat 2 yang hanya menyertakan pesan kesalahan. Untuk menyertakan pesan informasi juga, atur tingkat ke 4. Semua area WMI ditelusuri secara default. Ada tiga area berbeda yang dapat ditelusuri: Core (flag=0x1), ESS (flag=0x2) dan Prov (flag=0x4). Dalam perintah mulai di atas, bendera 0x7 menyebabkan ketiga area ditelusuri.
Windows 7: Secara default, pelacakan WMI berbasis WPP dinonaktifkan dan diatur ke tingkat 0. Untuk menggunakan pelacakan WMI berbasis WPP, fitur ini harus diaktifkan dan diatur ke tingkat 2 untuk pesan kesalahan atau tingkat 4 untuk pesan kesalahan dan informasi.
Untuk mencantumkan semua sesi jejak WPP
- Ketik tracelog -l.
Untuk mencantumkan info tentang sesi jejak WMI WPP
- Ketik tracelog -l | findstr /i "wmi_trace".
Untuk melihat parameter sesi pelacakan WMI WPP
- Ketik tracelog -q WMI_Trace_Session.
Topik terkait