Menelusuri
Pelacakan menggunakan Pelacakan Peristiwa untuk Windows (ETW). Untuk memanfaatkan alat pelacakan yang tersedia dengan Windows Server 2008 R2, instal Microsoft Windows SDK.
Ada tiga tingkat pelacakan yang didukung:
- Verbose (semua jejak yang tersedia).
- Info (jejak informasi).
- Kesalahan (jejak kesalahan).
Peristiwa berikut ditelusuri:
- Kesalahan apa pun (Level=Error, Level=Info atau Level=Verbose).
- Entri/Keluar dari API (Level=Info atau Level=Verbose).
- Memulai dan menyelesaikan IO apa pun (Level=Info atau Level=Verbose)
- Pesan SOAP yang ditukar (Level=Verbose, tersedia di Windows 2003 SP1 dan yang lebih baru)
WWSAPI menggunakan manifes berdasarkan peristiwa pada Windows Vista ke atas. Akibatnya, pengalaman pelacakan memiliki beberapa perbedaan berdasarkan versi sistem operasi. Menghasilkan jejak ETW dapat dilakukan dengan menggunakan alat ETW dalam kotak di semua platform yang didukung. Namun melihat jejak ETW dalam format yang bagus memerlukan alat kustom pada Windows XP SP2 dan Windows 2003 SP1. Ada beberapa cara berbeda untuk mengumpulkan dan melihat jejak peristiwa WWSAPI ETW tergantung pada versi sistem operasi.
- Jalankan eventvwr.msc dari baris perintah atau menu jalankan.
- Klik tautan tampilan di panel Tindakan di sebelah kanan dan aktifkan opsi Tampilkan log Analitik dan Debug.
- Telusuri ke penyedia Log Aplikasi dan Layanan\Microsoft\Windows\WebServices di panel kiri.
- Klik kanan penyedia Pelacakan dan pilih Aktifkan log.
- Jalankan skenario Anda.
- Saat Anda me-refresh halaman penampil peristiwa, Anda akan mulai melihat entri pelacakan WWSAPI.
File batch wstrace.bat menyediakan cara mudah untuk:
- Membuat log jejak
- Menghapus log pelacakan
- Mengaktifkan dan menonaktifkan pelacakan
- Memperbarui tingkat pelacakan (info/kesalahan/verbose)
- Mengonversi log jejak ke file CSV
File batch menggunakan logman.exe untuk semua perintah, dengan pengecualian mengonversi log ke file CSV, yang memerlukan alat kustom (wstracedump.exe).
Perintah berikut membuat log yang menggunakan info, kesalahan, atau tingkat verbose. Perintah ini memerlukan hak istimewa yang ditingkatkan.
wstrace.bat membuat [info | kesalahan | verbose]
Perintah berikut menghapus log. Perintah ini memerlukan hak istimewa yang ditingkatkan.
penghapusan wstrace.bat
Perintah berikut memungkinkan pelacakan. Anda harus terlebih dahulu membuat log.
wstrace.bat aktif
Tingkat pelacakan (info, kesalahan, atau verbose) dapat dimodifikasi sebagai berikut:
wstrace.bat update [info | error | verbose]
Untuk mencadangkan output jejak, gunakan perintah berikut:
temp.csv cadangan > wstrace.bat
Peristiwa akan dibuang ke file CSV hingga Ctrl-C ditekan atau pelacakan dinonaktifkan.
File CSV yang dibuat oleh wstrace.bat adalah file teks variabel yang dipisahkan koma sederhana. File-file ini dapat dibuka di Excel, Notepad, dll.
Kolom file adalah sebagai berikut:
- Tanda Waktu - Stempel waktu saat peristiwa direkam
- ProcessID - ID ULONG dari proses yang merekam peristiwa
- ThreadID - ID ULONG dari utas yang merekam peristiwa
- Peristiwa - Nilai enumerasi dari jenis peristiwa mungkin ("api enter" | "api tertunda" | "api ExitSyncSuccess" | "api ExitSyncFailure" | "api ExitAsyncSuccess" | "api ExitAsyncFailure" | "io started" | "io selesai" | "io failed" | "kesalahan" | "menerima pesan mulai" | "pesan diterima" | "terima pesan berhenti" | "mengirim pesan dimulai" | "mengirim pesan" | "mengirim pesan berhenti")
- Operasi - Nama operasi yang sedang dipanggil. Biasanya peta ini ke API yang dipanggil.
- Kesalahan - Nomor kesalahan HRESULT opsional
- Info - Informasi opsional tentang peristiwa
Mengaktifkan pelacakan ETW untuk WWSAPI
logman mulai wstrace -bs 64 -ft 1 -rt -p Microsoft-Windows-WebServices [flags [level]] [-o <EtlLogFileName>] -ets
untuk membuat dan memulai sesi pelacakan ETW. Logman.exe adalah alat ETW dalam kotak yang tersedia di semua platform yang didukung. Perhatikan bahwa Anda perlu menggunakan Microsoft_Windows_WebServices sebagai nama penyedia pada XPSP2 dan W2K3. Anda dapat menjalankan penyedia kueri logman untuk melihat daftar penyedia terdaftar. Penyedia Microsoft-Windows-WebServices (atau Microsoft_Windows_WebServices) harus dicantumkan kecuali tidak terdaftar. Penyedia biasanya terdaftar selama penyiapan. Namun juga dapat didaftarkan secara manual dengan menjalankan wevtutil.exe im <ManifestFileName> (di Windows Vista dan Kemudian) atau mofcomp.exe <MofFileName> (pada XPSP2 dan W2K3).
Bendera dapat digunakan untuk memfilter jejak menurut jenisnya. Ini bisa berupa nilai OR dari jenis jejak berikut. Jika tidak disediakan, semua jenis jejak diaktifkan.
- 0x1 - Jejak entri/keluar API.
- 0x2 - Jejak kesalahan.
- 0x4 - Jejak IO.
- 0x8 - Jejak pesan SOAP.
- 0x10 - Jejak pesan biner.
Tingkat dapat digunakan untuk memfilter jejak menurut tingkatnya. Ini harus menjadi salah satu nilai berikut. Jika tidak disediakan, semua tingkat pelacakan diaktifkan.
- 0x1 - Jejak fatal.
- 0x2 - Jejak kesalahan.
- 0x3 - Jejak peringatan.
- 0x4 - Jejak informasi.
- 0x5 - Jejak Verbose.
EtlLogFileName adalah jalur ke file log peristiwa ETW yang akan dibuat (gunakan ekstensi .etl). Jika tidak disediakan, ETW akan memilih nama acak yang dapat dikueri nanti. File ini tidak boleh berada di direktori profil pengguna. File log peristiwa ETW (file.etl) dalam format biner. Ini dapat dikonsumsi oleh aplikasi ETW, tetapi tidak dalam format yang dapat dibaca manusia. Langkah selanjutnya menjelaskan cara menampilkan kontennya.
Jalankan skenario Anda
Mengumpulkan file log peristiwa ETW.
logman hentikan wstrace -ets
untuk menghentikan sesi pelacakan ETW. Ini adalah ketika ETW berhenti mencatat peristiwa. File log peristiwa ETW (ditentukan dalam parameter EtlLogFileName) siap digunakan. Ini dapat dilihat secara lokal (instruksi diberikan di bawah) atau dikirim ke grup produk untuk penyelidikan.
Contoh end to end menggunakan alat ETW:
logman mulai wstrace -bs 64 -ft 1 -rt -p Microsoft-Windows-WebServices -o mytrace.etl -ets
gema.. jalankan skenario Anda..
logman hentikan wstrace -ets
tracerpt mytrace.etl -o mytrace.xml
wstrace.htm
gema.. gunakan mytrace.xml dan wstrace.xsl di halaman yang dibuka ..
Melihat jejak File Jejak WWSAPI ETW menggunakan alat wstracedump.exe (berfungsi pada Windows XP ke atas)
Wstracedump.exe adalah alat konsumen ETW yang dikembangkan khusus yang memproses peristiwa dalam file jejak WWSAPI ETW dan menghasilkan output yang dapat dibaca manusia. Ini dapat menghasilkan output dari semua platform yang didukung. Lihat penggunaannya (wstracedump.exe -?) untuk informasi selengkapnya.
Tracerpt.exe adalah alat untuk melihat konten file log peristiwa ETW dan tersedia di semua platform yang didukung. Ini dapat digunakan untuk menghasilkan file cadangan CSV, EVTX, atau XML dari file log peristiwa ETW. Namun file output yang dihasilkan memiliki jejak yang dapat dibaca manusia hanya di Windows Vista dan yang lebih baru. Instruksi ini menjelaskan cara menghasilkan file cadangan XML dan menggunakannya bersama dengan file xsl untuk menampilkan jejak dalam format yang bagus (file xsl sangat sepele dan dapat diubah jika format yang berbeda diinginkan).
jalankan
tracerpt <EtlLogFileName> -o <OutputXMLFileName>
untuk membuat cadangan XML dari file ETL biner (tracerpt.exe membuat file output dalam format XML secara default. Jalankan tracerpt -? Untuk melihat format lain yang tersedia).
Pada titik ini, Anda dapat melihat informasi pelacakan dalam file XML. Selain itu, Anda dapat membuka file wstrace.htm dan menggunakan file cadangan xml dan file wstrace.xsl untuk melihat jejak dalam format yang lebih baik. Perhatikan bahwa file harus berada di komputer lokal untuk dapat menggunakan file html ini pada IE.
Saat mengaktifkan pelacakan, administrator harus memperhitungkan bahwa ia menggunakan ruang disk tambahan dan daya komputasi. Klien atau aplikasi berbahaya dapat menghabiskan sumber daya sistem kecuali pengaturan pelacakan dikonfigurasi dengan batas yang wajar. Saat menggunakan fitur pelacakan pesan, pesan yang membawa informasi sensitif seperti kredensial, informasi pribadi, dll. dapat dipertahankan ke disk atau dilihat oleh siapa pun yang memiliki akses ke penampil peristiwa sistem. Sebagai mitigasi untuk masalah ini, pelacakan dapat diaktifkan oleh pengguna Sistem atau Administrator pada Windows 2003 dan yang lebih baru. Pelacakan pesan dinonaktifkan pada Windows XP tempat pengguna mana pun dapat mengaktifkan pelacakan.
Enumerasi berikut digunakan dengan pelacakan: