Traccia dell'attività WMI

  • Articolo

A partire da Windows Vista, il servizio WMI non usa i file di log WMI. Usa invece Event Tracing for Windows (ETW) e gli eventi sono disponibili tramite Visualizzatore eventi o lo strumento da riga di comando Wevtutil.

Le sezioni seguenti sono descritte in questo argomento:

Recupero di eventi WMI tramite Visualizzatore eventi

Il file WMITracing.log contiene gli eventi tracciati da WMI. Tuttavia, si tratta di un file binario. Per visualizzare questi eventi in un formato leggibile dagli esseri umani, usare il Visualizzatore eventi.

Per impostazione predefinita, gli eventi WMI non vengono tracciati. Questa procedura descrive come usare Visualizzatore eventi per abilitare la traccia eventi WMI e individuare gli eventi WMI. È possibile eseguire le stesse operazioni tramite lo strumento da riga di comando wevtutil.

Per visualizzare eventi WMI in Visualizzatore eventi

  1. Aprire il Visualizzatore eventi. Scegliere Mostra log analitici e di debug dal menu Visualizza. Individuare il log del canale di traccia per WMI in Registri applicazioni e servizi | Microsoft | Windows | Attività WMI.
  2. Fare clic con il pulsante destro del mouse sul log di traccia e scegliere Proprietà log. Fare clic sulla casella di controllo Abilita registrazione per avviare la traccia eventi WMI. Per altre informazioni sui canali, vedere Registri eventi e canali nel registro eventi di Windows.
  3. Gli eventi WMI vengono visualizzati nella finestra eventi per WMI-Activity. Fare doppio clic su un evento nell'elenco per visualizzare le informazioni dettagliate. È possibile visualizzare un evento in visualizzazione XML o in formato Visualizzazione descrittiva.

Il campo ID evento visualizza un valore che contiene le informazioni seguenti.

Evento 1

Inizio della sequenza di eventi per un'operazione specifica. Un'occorrenza per ogni sequenza.

I campi evento per un evento 1 sono:

  • GroupOperationID è un identificatore univoco usato per tutti gli eventi segnalati per un client specifico.
  • OperationId indica la sequenza di operazioni.
  • L'operazione specifica la connessione o la richiesta a WMI.
  • L'utente indica l'account che effettua una richiesta a WMI eseguendo uno script o tramite CIM Studio.
  • Lo spazio dei nomi mostra lo spazio dei nomi WMI a cui viene stabilita la connessione.

Ad esempio, uno script può richiedere tutte le istanze di una classe WMI, ad esempio Win32_Service. La prima operazione può essere una connessione a WMI.

Evento 2

Eventi che costituiscono l'operazione. Una o più occorrenze nella sequenza.

I campi evento per un evento 2 sono:

  • GroupOperationID indica la sequenza in cui si verifica l'evento.
  • GroupOperationID indica la sequenza in cui si verifica l'evento.
  • ProviderName indica il nome del provider che fornisce i dati.
  • Path è il percorso WMI dell'oggetto.

Ad esempio, l'operazione può essere un'enumerazione di Win32_Service.

Evento 3

Fine della sequenza di eventi per un'operazione specifica. Un'occorrenza per ogni sequenza.

Viene visualizzato solo GroupOperationID.

Abilitazione della traccia WMI al prompt dei comandi

È anche possibile abilitare la traccia di eventi WMI tramite lo strumento da riga di comando Wevtutil. Usare il comando seguente: Wevtutil.exe sl Microsoft-Windows-WMI-Activity/Trace /e:true. L'origine evento WMI è Microsoft-Windows-WMI. Per altre informazioni su Wevtutil.exe, vedere Informazioni sul registro eventi di Windows.

Uso della traccia WMI basata su WPP

Nei sistemi operativi Windows a partire da Windows Vista, WMI crea un canale di traccia attivo durante il processo di avvio. Il nome del canale è WMI_Trace_Session. Solo gli errori vengono registrati nel canale.

Il preprocessore di traccia software Windows registra le informazioni in un file binario. Per leggere il file, è prima necessario convertirlo in un formato di testo leggibile. Usare uno strumento denominato tracefmt.exe da Windows Driver Kit (WDK) per eseguire la traduzione. Lo strumento richiede informazioni archiviate in alcuni file associati. I file si trovano nella directory %SystemRoot%\System32\wbem\tmf e hanno un'estensione tmf. Lo strumento richiede effettivamente un singolo file con estensione tmf. Questo singolo file viene creato concatenando tutti i file con estensione tmf in un altro file con estensione tmf. Per altre informazioni sui file con estensione tmf, vedere File di formato messaggio di traccia.

Dopo aver installato Windows Driver Kit (WDK) per ottenere gli strumenti da riga di comando tracelog.exe e tracefmt.exe, seguire questa procedura per raccogliere una traccia WMI basata su WPP.

Per visualizzare una traccia WMI basata su WPP

  1. Per creare il singolo file con estensione tmf, aprire una finestra del prompt dei comandi con privilegi elevati e passare alla directory %SystemRoot%\System32\wbem\tmf.

  2. Digitare copy /y %SystemRoot%\System32\wbem\tmf\*.tmf %SystemRoot%\System32\wbem\tmf\wmi.tmf. Verrà creato un file denominato wmi.tmf che include il contenuto di tutti gli altri file con estensione tmf.

  3. Type tracelog -flush WMI_Trace_Session. Verranno scaricati i buffer WPP sul disco.

  4. Set di tipi TRACE_FORMAT_PREFIX = [%9!d!] %8!04X!. %3!04X!. %3!04X!::%4!s! [%1!s!] (%! COMPNAME!:%! FUNC !:%2!s!). Lo strumento tracefmt aggiunge alcune informazioni predefinite a ogni messaggio di traccia. È possibile configurare le informazioni incluse impostando la variabile di ambiente TRACE_FORMAT_PREFIX. Per informazioni sulla sintassi usata, vedere Prefisso messaggio di traccia.

  5. Digitare tracefmt -tmf %systemroot%\system32\wbem\tmf\wmi.tmf -o OUTPUT.TXT %systemroot%\system32\wbem\logs\WMITracing.log. In questo modo viene eseguita la traduzione dal formato binario al formato testo leggibile.

  6. Blocco note del tipo %systemroot%\system32\wbem\tmf\OUTPUT.TXT. Verrà aperto il file di traccia in Blocco note.

Di seguito sono riportate alcune altre attività correlate a WPP che potrebbe essere necessario eseguire.

Per arrestare la traccia WMI basata su WPP

  • Digitare tracelog -stop WMI_Trace_Session.

Per avviare la traccia WMI basata su WPP

  • Type tracelog -start WMI_Trace_Session -guid #1FF6B227-2CA7-40f9-9A66-980EADAA602E -rt -level 5 -flag 0x7 -f MYTRACE. BIN

Windows Vista: per impostazione predefinita, la traccia WMI basata su WPP è impostata sul livello 2, che include solo messaggi di errore. Per includere anche messaggi informativi, impostare il livello su 4. Tutte le aree di WMI vengono tracciate per impostazione predefinita. Esistono tre aree distinte che possono essere tracciate: Core (flag=0x1), ESS (flag=0x2) e Prov (flag=0x4). Nel comando start precedente, flag 0x7 fa sì che tutte e tre le aree vengano tracciate.

Windows 7: per impostazione predefinita, la traccia WMI basata su WPP è disabilitata e impostata sul livello 0. Per usare la traccia WMI basata su WPP, questa funzionalità deve essere abilitata e impostata sul livello 2 per i messaggi di errore o il livello 4 per i messaggi di errore e informativi.

Per elencare tutte le sessioni di traccia WPP

  • Type tracelog -l.

Per elencare informazioni sulla sessione di traccia WPP WMI

  • Type tracelog -l | findstr /i "wmi_trace".Type tracelog -l | findstr /i "wmi_trace".

Per visualizzare i parametri della sessione di traccia WPP WMI

  • Digitare tracelog -q WMI_Trace_Session.

Risoluzione dei problemi WMI

File di log WMI