Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
A partire da Windows Vista, il servizio WMI non usa i file di log WMI . Usa invece ETW (Event Tracing for Windows) e gli eventi sono disponibili tramite Visualizzatore eventi o lo strumento da riga di comando Wevtutil.
Le sezioni seguenti sono descritte in questo argomento:
- Ottenere eventi WMI attraverso il Visualizzatore eventi
- Attivazione del tracciamento WMI al prompt dei comandi
- Tracciamento WMI basato su WPP
- argomenti correlati
Ottenere eventi WMI tramite il Visualizzatore eventi
Il file WMITracing.log contiene gli eventi tracciati da WMI. Tuttavia, si tratta di un file binario. Per visualizzare questi eventi in un formato leggibile dagli utenti, usare il Visualizzatore eventi .
Per impostazione predefinita, gli eventi WMI non vengono tracciati. Questa procedura descrive come usare Visualizzatore eventi per abilitare la traccia eventi WMI e individuare gli eventi WMI. È possibile eseguire le stesse operazioni tramite lo strumento da riga di comando wevtutil.
Per visualizzare gli eventi WMI nel Visualizzatore eventi
- Aprire Visualizzatore eventi. Nel menu Visualizza fare clic su Mostra log analitici e di debug. Individuare il log del canale Trace per WMI sotto Registri applicazioni e servizi | Microsoft | Windows | Attività WMI.
- Fare clic con il pulsante destro del mouse sul log traccia e selezionare Proprietà log. Fare clic sulla casella di controllo Abilita logging per avviare la traccia eventi WMI. Per altre informazioni sui canali, vedere Registri Eventi e Canali nel Registro Eventi di Windows.
- Gli eventi WMI vengono visualizzati nella finestra eventi per WMI-Activity. Fare doppio clic su un evento nell'elenco per visualizzare le informazioni dettagliate. È possibile visualizzare un evento in vista XML o in formato vista amichevole.
Il campo ID evento visualizza un valore che contiene le informazioni seguenti.
-
evento 1
-
Inizio della sequenza di eventi per un'operazione specifica. Un'occorrenza per ogni sequenza.
I campi evento per un evento 1 sono:
- GroupOperationID è un identificatore univoco usato per tutti gli eventi segnalati per un client specifico.
- OperationId indica la sequenza di operazioni.
- Operation specifica la connessione o la richiesta a WMI.
- User indica l'account che effettua una richiesta a WMI eseguendo uno script o tramite CIM Studio.
- Spazio dei nomi mostra lo spazio dei nomi WMI a cui viene stabilita la connessione.
Ad esempio, uno script può richiedere tutte le istanze di una classe WMI, ad esempio Win32_Service. La prima operazione può essere una connessione a WMI.
-
Evento 2
-
Eventi che costituiscono l'operazione. Una o più occorrenze nella sequenza.
I campi evento per un evento 2 sono:
- GroupOperationID indica la sequenza in cui si verifica l'evento.
- GroupOperationID indica la sequenza in cui si verifica l'evento.
- ProviderName indica il nome del provider che fornisce i dati.
- Path è il percorso WMI dell'oggetto.
Ad esempio, l'operazione può essere un'enumerazione di Win32_Service.
-
Evento 3
-
Fine della sequenza di eventi per un'operazione specifica. Un'occorrenza per ogni sequenza.
Viene visualizzato solo il GroupOperationID.
Abilitazione del tracciamento WMI al prompt dei comandi
È anche possibile abilitare la traccia di eventi WMI tramite lo strumento da riga di comando Wevtutil. Usare il comando seguente: Wevtutil.exe sl Microsoft-Windows-WMI-Activity/Trace /e:true. L'origine dell'evento WMI è Microsoft-Windows-WMI. Per altre informazioni su Wevtutil.exe, vedere Informazioni sul registro eventi di Windows.
Uso del tracciamento WMI basato su WPP
Nei sistemi operativi Windows a partire da Windows Vista, WMI crea un canale di traccia attivo durante il processo di avvio. Il nome del canale è WMI_Trace_Session. Solo gli errori vengono registrati nel canale.
Il preprocessore di traccia software Windows registra le informazioni in un file binario. Per leggere il file, è prima necessario convertirlo in un formato di testo leggibile. Usare uno strumento denominato tracefmt.exe dal Windows Driver Kit (WDK) per eseguire la traduzione. Lo strumento richiede informazioni archiviate in alcuni file associati. I file si trovano nella directory %SystemRoot%\System32\wbem\tmf e hanno un'estensione tmf. Lo strumento richiede effettivamente un singolo file con estensione tmf. Questo singolo file viene creato concatenando tutti i file con estensione tmf in un altro file con estensione tmf. Per ulteriori informazioni sui file .tmf, vedere il file di formato dei messaggi di traccia.
Dopo aver installato il Windows Driver Kit (WDK) per ottenere i tracelog.exe e tracefmt.exe strumenti da riga di comando, seguire questa procedura per raccogliere una traccia WMI basata su WPP.
Per visualizzare una traccia WMI basata su WPP
Per creare il singolo file con estensione .tmf, aprire un prompt dei comandi con privilegi elevati e navigare nella directory %SystemRoot%\System32\wbem\tmf.
Digitare copiare /y %SystemRoot%\System32\wbem\tmf\*.tmf %SystemRoot%\System32\wbem\tmf\wmi.tmf. Verrà creato un file denominato wmi.tmf che include il contenuto di tutti gli altri file con estensione tmf.
Digitare tracelog -flush WMI_Trace_Session. Verranno svuotati i buffer WPP sul disco.
Digitare set TRACE_FORMAT_PREFIX = [%9!d!]%8!04X!.%3!04X!.%3!04X!::%4!s! [%1!s!](%!COMPNAME!:%!FUNC!:%2!s!). Lo strumento tracefmt aggiunge alcune informazioni predefinite a ogni messaggio di traccia. È possibile configurare le informazioni incluse impostando la variabile di ambiente TRACE_FORMAT_PREFIX. Per informazioni sulla sintassi usata, vedere Prefisso del Messaggio di Traccia.
Digitare tracefmt -tmf %systemroot%\system32\wbem\tmf\wmi.tmf -o OUTPUT.TXT %systemroot%\system32\wbem\logs\WMITracing.log. In questo modo viene eseguita la traduzione dal formato binario al formato testo leggibile.
Digitare blocco note %systemroot%\system32\wbem\tmf\OUTPUT.TXT. Questo aprirà il file di log nel Blocco note.
Di seguito sono riportate alcune altre attività correlate a WPP che potrebbe essere necessario eseguire.
Per arrestare la traccia WMI basata su WPP
- Digitare tracelog -stop WMI_Trace_Session.
Per avviare la traccia WMI basata su WPP
- Digitare tracelog -start WMI_Trace_Session -guid #1FF6B227-2CA7-40f9-9A66-980EADAA602E -rt -level 5 -flag 0x7 -f MYTRACE.BIN
Windows Vista: Per impostazione predefinita, la traccia WMI basata su WPP è impostata sul livello 2, che include solo i messaggi di errore. Per includere anche messaggi informativi, impostare il livello su 4. Tutte le aree di WMI vengono tracciate per impostazione predefinita. Esistono tre aree distinte che possono essere tracciate: Core (flag=0x1), ESS (flag=0x2) e Prov (flag=0x4). Nel comando start precedente, flag 0x7 fa sì che tutte e tre le aree vengano tracciate.
Windows 7: Per impostazione predefinita, la traccia WMI su base WPP è disabilitata e impostata sul livello 0. Per usare la traccia WMI basata su WPP, questa funzionalità deve essere abilitata e impostata sul livello 2 per i messaggi di errore o il livello 4 per i messaggi di errore e informativi.
Per elencare tutte le sessioni di traccia WPP
- Digitare tracelog -l.
Per elencare informazioni sulla sessione di traccia WPP WMI
- Tipo -l tracelog | findstr /i "wmi_trace".
Per visualizzare i parametri della sessione di traccia WPP WMI
- Digitare il comando tracelog -q WMI_Trace_Session.
Argomenti correlati