설정 및 부팅 이벤트 컬렉션 시작

  • 아티클

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server

개요

설치 및 부팅 이벤트 컬렉션은 Windows Server 2016의 새로운 기능으로, 부팅하거나 설치 프로세스를 진행할 때 다른 컴퓨터에서 발생하는 다양한 중요한 이벤트를 수집할 수 있는 수집기 컴퓨터를 지정할 수 있습니다. 그런 다음 이벤트 뷰어, 메시지 분석기, Wevtutil, 또는 Windows PowerShell cmdlet 통해 수집 된 이벤트를 나중에 분석할 수 있습니다.

이전에 이러한 이벤트를 모니터링할 컴퓨터를 이미 설정 될 때까지 성능 데이터를 수집 하는 데 필요한 인프라가 존재 하지 않아 수 되었습니다 수 있습니다. 모니터링할 수 있는 설정 및 부팅 이벤트의 종류는 다음과 같습니다.

  • 드라이버 및 커널 모듈 로드

  • 디바이스 열거 및 드라이버 초기화(CPU 유형과 같은 디바이스 포함)

  • 확인 및 파일 시스템

  • 실행 파일의 시작

  • 시작 및 완료 된 시스템 업데이트

  • 도메인 컨트롤러, 네트워크 공유의 가용성 및 서비스를 시작, 완료 된 연결을 설정 하는 시스템 로그온에 사용할 수 있는 지점

수집기 컴퓨터에 Windows Server 2016 (두 서버를 데스크톱 경험 또는 Server Core 모드에 일 수) 실행 되어야 합니다. 대상 컴퓨터는 Windows 10 또는 Windows Server 2016 실행 되어야 합니다. Windows Server 2016을 실행하지 않는 컴퓨터에서 호스팅되는 가상 머신에서 이 서비스를 실행할 수도 있습니다. 가상화 된 수집기와 대상 컴퓨터의 다음과 같은 조합은 작동 하도록 라고 합니다.

가상화 호스트 수집기 가상 머신 대상 가상 머신
Windows 8.1
Windows 10
Windows Server 2016
Windows Server 2012 R2 아니요

수집기 서비스를 설치합니다.

에서 시작 하 여 Windows Server 2016 이벤트 수집기 서비스를 선택적 기능으로 사용할 수 있습니다. 이 릴리스에서 DISM.exe를 사용 하 여 Windows PowerShell 프롬프트에서이 명령을 사용 하 여 설치할 수 있습니다.

dism /online /enable-feature /featurename:SetupAndBootEventCollection

이 명령은 BootEventCollector 라는 서비스를 만들고 빈 구성 파일에 붙습니다.

확인 검사 하 여 설치는 성공 하는 get-service -displayname *boot*합니다. 부팅 이벤트 수집기 실행 되어야 합니다. 네트워크 서비스 계정에서 실행 하 고 빈 구성 파일 (Active.xml)에 만듭니다 %SystemDrive%\ProgramData\Microsoft\BootEventCollector\Config합니다.

또한 서버 관리자에서 역할 및 기능 추가 마법사를 설치 및 부팅 이벤트 수집 서비스를 설치할 수 있습니다.

구성

설치 및 부팅 이벤트를 수집 하는 두 개의 항목을 구성 해야 합니다.

  • 대상 컴퓨터에 있는 이벤트를 전송 합니다 (즉, 설정 및 부팅 된 컴퓨터 모니터링 하려면), 넷 KDNET/이벤트 전송에 사용 하도록 설정 하 고 이벤트 전달을 사용 하도록 설정 합니다.

  • 수집기 컴퓨터에서 발생 한 이벤트와 저장 위치를 적용 하려면 컴퓨터를 지정 합니다.

참고 항목

자신에 게 시작 또는 부팅 이벤트를 전송 하는 컴퓨터를 구성할 수 없습니다. 하지만 두 대의 컴퓨터를 모니터링 하려는 경우 서로 이벤트를 보낼 수 있도록를 구성할 수 있습니다.

대상 컴퓨터를 구성합니다.

각 대상 컴퓨터에 먼저 넷 KDNET/이벤트 전송에 사용 하도록 설정 다음 ETW 이벤트의 전송을 통해 보낼 수를 대상 컴퓨터를 다시 시작 합니다. NET 이벤트는 KDNET (커널 디버거 프로토콜) 하는 커널에 전송 프로토콜입니다. 만 NET 이벤트는 이벤트를 전송 하 고 디버거 액세스를 허용 하지 않습니다. 이 두 가지 프로토콜은 상호 배타적입니다. 둘 중 한 번에 사용할 수 있습니다.

이벤트 전송 원격 (Windows PowerShell과 함께)을 사용 하도록 설정할 수 또는 로컬로 합니다.

이벤트 전송을 원격으로 사용 하도록 설정 하려면

  1. 이미 설정한 경우 Windows PowerShell 원격을 대상 컴퓨터에, 3 단계로 건너뜁니다. 그렇지 않은 경우 대상 컴퓨터에서 명령 프롬프트를 열고 하 고 다음 명령을 실행 합니다.

    winrm quickconfig

  2. 메시지에 응답 하 고 대상 컴퓨터를 다시 시작 합니다. 대상 컴퓨터는 수집기 컴퓨터와 동일한 도메인에 없는 경우 신뢰할 수 있는 호스트도 정의 해야 합니다. 방법:

  3. 수집기 컴퓨터에서 다음이 명령 중 하나를 실행 합니다.

    • Windows PowerShell 프롬프트: Set-Item -Force WSMan:\localhost\Client\TrustedHosts <target1>,<target2>,...다음에 Set-Item -Force WSMan:\localhost\Client\AllowUnencrypted true<target1> 등이 대상 컴퓨터의 이름 또는 IP 주소입니다.

    • 또는 명령 프롬프트에서 winrm/config/client @{TrustedHosts=<target1,target2><>,...; AllowUnencrypted=true}

      Important

      이 랩 환경 외부에서 이렇게 하지 되므로 암호화 되지 않은 통신을 설정 합니다.

  4. 수집기 컴퓨터 하 고 다음 Windows PowerShell 명령 중 하나를 실행 하 여 원격 연결을 테스트 합니다.

    대상 컴퓨터가 수집기 컴퓨터와 동일한 do기본에 있는 경우New-PSSession -Computer <target> | Remove-PSSession

    대상 컴퓨터는 동일한 도메인에 없는 경우 실행 New-PSSession -Computer <target> -Credential Administrator | Remove-PSSession, 자격 증명을 묻는 됩니다입니다.

    명령이 아무것도 반환 하지 않습니다, remoting이 했습니다.

  5. 대상 컴퓨터에서 관리자 권한 Windows PowerShell 프롬프트를 열고이 명령을 실행 합니다.

    Enable-SbecBcd -ComputerName <target_name> -CollectorIP <ip> -CollectorPort <port> -Key <a.b.c.d>

    여기서 <target_name> 대상 컴퓨터의 이름이고 ip <> 는 수집기 컴퓨터의 IP 주소입니다. <포트> 는 수집기가 실행되는 포트 번호입니다. 키 <a.b.c.d> 는 점으로 구분된 4개의 영숫자 문자열로 구성된 통신에 필요한 암호화 키입니다. 이 키 수집기 컴퓨터에서 사용 됩니다. 키를 입력 하지 않으면, 시스템에서 임의 키입니다. 수집기 컴퓨터에 대해이 필요 합니다 기록해 둡니다.

  6. 설정 하는 수집기 컴퓨터를 이미 있는 경우 새 대상 컴퓨터에 대 한 정보로 수집기 컴퓨터에서 구성 파일을 업데이트 합니다. 자세한 내용은 수집기 컴퓨터 구성 섹션을 참조하세요.

대상 컴퓨터에서 로컬로 전송 시 이벤트를 사용 하도록 설정 하려면

  1. 관리자 권한 명령 프롬프트를 시작 하 고이 명령을 실행 합니다.

    bcdedit /event yes

    bcdedit /eventsettings net hostip:1.2.3.4 port:50000 key:a.b.c.d

    다음은 1.2.3.4의 예입니다. 를 수집기 컴퓨터의 IP 주소로 바꿉니다. 또한 50000을 수집기가 실행되는 포트 번호로 바꾸고, a.b.c.d를 통신에 필요한 암호화 키로 바꿉다. 이 키 수집기 컴퓨터에서 사용 됩니다. 키를 입력 하지 않으면, 시스템에서 임의 키입니다. 수집기 컴퓨터에 대해이 필요 합니다 기록해 둡니다.

  2. 설정 하는 수집기 컴퓨터를 이미 있는 경우 새 대상 컴퓨터에 대 한 정보로 수집기 컴퓨터에서 구성 파일을 업데이트 합니다. 자세한 내용은 수집기 컴퓨터 구성 섹션을 참조하세요.

이제 이벤트 전송 자체를 사용하도록 설정했으므로 시스템에서 해당 전송을 통해 ETW 이벤트를 실제로 보낼 수 있도록 설정해야 합니다.

ETW 이벤트 전송을 통해 보내는 원격으로 사용 하도록 설정 하려면

  1. 수집기 컴퓨터에서 관리자 권한 Windows PowerShell 프롬프트를 엽니다.

  2. 실행 Enable-SbecAutologger -ComputerName <target_name>합니다. 여기서 <target_name> 대상 컴퓨터의 이름입니다.

Windows PowerShell 원격을 설정할 수 없는 경우 대상 컴퓨터에 직접 이벤트를 보내는 항상 사용할 수 있습니다.

로컬로 전송을 통해 ETW 이벤트를 보내는 사용 하도록 설정 하려면

  1. 대상 컴퓨터에 Regedit.exe를이 레지스트리 키를 찾습니다.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\AutoLogger합니다. 다양 한 로그 세션은이 키 아래에 하위 키로 나열 됩니다. 플랫폼 설정, NT 커널으로 거, 및 Microsoft Windows 설정 설정 및 부팅 이벤트를 수집, 사용 가능한 옵션을 선택할 수 있지만 권장된 옵션은 이벤트 로그 시스템합니다. 이러한 키에 자세히 설명 되어 AutoLogger 세션 구성 및 시작할합니다.

  2. 이벤트 로그 시스템 키에서 값을 변경 LogFileMode 에서 0x100001800x10080180합니다. 이러한 설정의 세부 정보에 대 한 자세한 내용은 참조 로깅 모드 상수합니다.

  3. 필요에 따라 버그는 수집기 컴퓨터에 데이터를 검사 한 전달을 활성화할 수 있습니다. 이 작업을 수행 하려면 레지스트리를 찾아 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager 키 및 키를 만들 디버그 인쇄 필터 값이 0x1합니다.

  4. 대상 컴퓨터를 다시 시작 합니다.

네트워크 어댑터를 선택합니다.

대상 컴퓨터에 둘 이상의 네트워크 어댑터가 있는 경우 첫 번째 표에 나열 된 지원 KDNET 드라이버를 선택 합니다. 다음이 단계를 사용 하 여 설치 이벤트를 전달 하기 위해 사용 하 여 특정 네트워크 어댑터를 지정할 수 있습니다.

네트워크 어댑터를 지정 하려면

  1. 대상 컴퓨터에서 디바이스 관리자를 열고 확장 네트워크 어댑터, 를 사용 하려면 네트워크 어댑터를 찾을 마우스 오른쪽 단추로 클릭 합니다.

  2. 열리는 메뉴에서 [속성]을 클릭한 다음 [세부 정보] 탭을 클릭합니다. [속성] 필드의 메뉴를 확장하고 스크롤하여 위치 정보를습니다(목록은 사전순이 아닐 수 있음). 값은 PCI 버스 X, 디바이스 Y, 함수 Z 형식의 문자열입니다. X.Y.Z를 기록해 둡다. 이 매개 변수는 다음 명령에 필요한 버스 매개 변수입니다.

  3. 이러한 명령 중 하나를 실행 합니다.

    관리자 권한 Windows PowerShell 프롬프트에서: Enable-SbecBcd -ComputerName <target_name> -CollectorIP <ip> -CollectorPort <port> -Key <a.b.c.d> -BusParams <X.Y.Z>

    관리자 권한 명령 프롬프트에서: bcdedit /eventsettings net hostip:aaa 포트: 50000 키: bbb busparams:X.Y.Z

대상 컴퓨터 구성의 유효성을 검사합니다

대상 컴퓨터에서 설정을 확인 하려면 관리자 권한 명령 프롬프트를 열고 실행 bcdedit /enum합니다. 다음 실행이 완료 되 면 bcdedit /eventsettings합니다. 다음 값을 다시 확인 수 있습니다.

  • Key

  • Debugtype = NET

  • Hostip = <수집기의 IP 주소>

  • 포트 = <수집기에서 사용하도록 지정한 포트 번호>

  • DHCP = 예

또한 설정 했는지 확인 bcdedit /event, 이후 디버그/event 함께 사용할 수 없습니다. 둘 중 하나 에서만 실행할 수 있습니다. 마찬가지로, /eventsettings /debug 또는 /dbgsettings /event와 혼합할 수 없습니다.

또한 note 직렬 포트에 설정 하는 경우 이벤트 수집 작동 하지 않습니다.

수집기 컴퓨터를 구성합니다.

수집기 서비스 이벤트를 수신 하 고 ETL 파일에 저장 합니다. 이러한 ETL 파일 수 읽을 수 이벤트 뷰어와 같은 다른 도구를 통해 메시지 분석기, Wevtutil 및 Windows PowerShell cmdlet.

ETW 형식을 허용 하지 않으면 대상 컴퓨터 이름을 지정할 수 있으므로 각 대상 컴퓨터에 대 한 이벤트를 별도 파일에 저장 해야 합니다. 표시 도구는 컴퓨터 이름이 표시 될 수 있습니다 않으며 도구가 실행 되는 컴퓨터의 이름이 됩니다.

보다 정확 하 게 각 대상 컴퓨터는 링 ETL 파일에 할당 됩니다. 각 파일 이름 (최대 999)를 구성 하는 최대 값으로 000에서 인덱스를 포함 합니다. 파일에서 구성 된 최대 크기에 도달 하면 다음 파일에 쓰기 이벤트를 전환 합니다. 가능한 가장 높은 파일 후 파일 000 인덱스를 다시를 전환 됩니다. 이러한 방식으로 파일은 자동으로 재활용의 디스크 공간 사용량을 제한 합니다. 디스크 사용량; 더욱 제한 하려면 추가 외부 보존 정책을 설정할 수도 있습니다. 예를 들어 일 수 집합 보다 오래 된 파일을 삭제할 수 있습니다.

수집 된 ETL 파일은 일반적으로 디렉터리에 보관 c:\ProgramData\Microsoft\BootEventCollector\Etl (있는 하위 디렉터리). 마지막으로 수정한 시간으로 정렬 하 여 가장 최근의 로그 파일을 찾을 수 있습니다. 또한 상태 로그 (보통 c:\ProgramData\Microsoft\BootEventCollector\Logs), 새 파일에 쓰기를 전환 하는 수집기 때마다 레코드입니다.

자체는 수집기에 대 한 정보를 기록 하는 수집기 로그 이기도 합니다. ETW 형식 (있는 Windows 로그 서비스에 이벤트를 보고, 기본값) 또는 파일에서이 로그를 유지할 수 있습니다 (일반적으로 c:\ProgramData\Microsoft\BootEventCollector\Logs). 파일을 사용 하는 많은 양의 데이터를 생성 하는 자세한 정보 표시 모드를 사용 하도록 설정 하려는 경우에 유용할 수 있습니다. 명령줄에서 수집기를 실행 하 여 표준 출력에 쓸 로그를 설정할 수 있습니다.

수집기 구성 파일 만들기

서비스를 사용하도록 설정하면 세 개의 XML 구성 파일이 만들어지고 c:\ProgramData\Microsoft\BootEventCollector\Config에 저장됩니다.

  • Active.xml 이 파일에는 수집기 서비스의 현재 활성 구성을 포함 합니다. 바로 설치 후이 파일의 내용이 동일한 Empty.xml. 새 수집기 구성을 설정 하는 경우이 파일에 저장 합니다.

  • Empty.xml 이 파일에 포함 최소 구성 요소 필요를 해당 기본값으로 설정 됩니다. 모든 컬렉션을 사용 하지 않는 수집기 서비스를 유휴 모드에서 시작 하도록 허용 합니다.

  • Example.xml 이 파일은 예제와 설명이 가능한 구성 요소를 제공 합니다.

파일 크기 제한 선택

파일 크기 제한을 설정 해야 할 결정 사항 중 하나입니다. 최상의 파일 크기 제한을 이벤트 및 사용 가능한 디스크 공간이 예상된 볼륨에 따라 달라 집니다. 더 작은 파일은 이전 데이터 정리의 관점에서 더 편리 합니다. 그러나 각 파일은 64KB 헤더의 오버헤드를 전달하며 결합된 기록을 얻기 위해 많은 파일을 읽는 것이 불편할 수 있습니다. 절대 최소 파일 크기 제한은 256KB입니다. 적절 한 실제 파일 크기 제한을 1MB 이상 이어야 합니다 10MB는 아마도 좋은 일반적인 값입니다. 더 높은 한도 많은 이벤트를 예상 하는 경우 적절 한 수 있습니다.

자세한 정보는 구성 파일에 대 한 염두에 두 가지가 있습니다.

  • 대상 컴퓨터의 주소입니다. IPv4 주소, MAC 주소 또는 SMBIOS GUID를 사용할 수 있습니다. 사용 하는 주소를 선택할 때 이러한 요소를 염두에 두십시오.

    • IPv4 주소는 IP 주소의 정적 할당 적합합니다. 그러나도 고정 IP 주소는 DHCP를 통해 사용할 수 있어야 합니다.

    • MAC 주소 또는 SMBIOS GUID이 사전에 확인 되었지만 IP 주소를 동적으로 할당 된 경우에 편리 합니다.

    • IPv6 주소는 NET 이벤트 프로토콜에서 지원 되지 않습니다.

    • 컴퓨터를 식별 하는 여러 방법을 지정 하는 것이 불가능 합니다. 예를 들어 물리적 하드웨어를 교체할 경우 기존 및 새 MAC 주소를 입력할 수 있는 및 하거나 수락 합니다.

  • 수집기 컴퓨터와의 통신에 사용 되는 암호화 키

  • 대상 컴퓨터의 이름입니다. 컴퓨터 이름으로 IP 주소, 호스트 이름 또는 다른 이름을 사용할 수 있습니다.

  • 사용 하 고 링 크기 구성에 대 한 ETL 파일의 이름

구성 파일을 만들려면

  1. 관리자 권한 Windows PowerShell 프롬프트를 열고 %SystemDrive%\ProgramData\Microsoft\BootEventCollector\Config 디렉터리를 변경 합니다.

  2. 형식 notepad .\newconfig.xml ENTER 키를 누릅니다.

  3. 이 예제에서는 구성 메모장 창에 복사 합니다.

    <collector configVersionMajor=1 statuslog=c:\ProgramData\Microsoft\BootEventCollector\Logs\statuslog.xml>
  <common>
    <collectorport value=50000/>
    <forwarder type=etl>
      <set name=file value=c:\ProgramData\Microsoft\BootEventCollector\Etl\{computer}\{computer}_{#3}.etl/>
      <set name=size value=10mb/>
      <set name=nfiles value=10/>
      <set name=toxml value=none/>
    </forwarder>
    <target>
      <ipv4 value=192.168.1.1/>
      <key value=a.b.c.d/>
      <computer value=computer1/>
    </target>
    <target>
      <ipv4 value=192.168.1.2/>
      <key value=d1.e2.f3.g4/>
      <computer value=computer2/>
    </target>
  </common>
</collector>

    참고 항목

    루트 노드가 수집기>입니다<. 해당 특성의 구성 파일 구문 버전 및 상태 로그 파일의 이름을 지정합니다.

    <공통> 요소 그룹은 여러 사용자에 대한 공통 구성 요소를 지정하는 여러 대상을 그룹화합니다. 사용자 그룹을 사용하여 여러 사용자에 대한 공통 권한을 지정할 수 있습니다.

    <Collectorport> 요소는 수집기가 들어오는 데이터를 수신 대기할 UDP 포트 번호를 정의합니다. Bcdedit에 대 한 대상 구성 단계에서 지정 된 것과 동일한 포트입니다. 수집기 포트를 하나만 지원 하 고 모든 대상에서 동일한 포트에 연결 해야 합니다.

    <전달자> 요소는 대상 컴퓨터에서 받은 ETW 이벤트를 전달하는 방법을 지정합니다. ETL 파일에 기록 하는 전달자의 한 가지 형식만이 있습니다. 매개 변수는 파일 이름 패턴을 각 컴퓨터에 대 한 각 파일에는 링과 링의 크기에 대 한 크기 제한을 지정합니다. 설정 toxml은 XML로 변환하지 않고 ETW 이벤트가 수신될 때 이진 형식으로 기록되도록 지정합니다. XML에 이벤트를 부여할지 여부를 결정하는 방법에 대한 자세한 내용은 XML 이벤트 변환 섹션을 참조하세요. 이러한 대체 단어를 포함 하는 파일 이름 패턴: {컴퓨터} 컴퓨터 이름 및 {# 3을 (를)에 대 한 링에는 파일의 인덱스입니다.

    이 예제 파일에서는 대상 요소로 두 개의 대상> 컴퓨터가 <정의됩니다. 각 정의는 ipv4>를 <사용하여 IP 주소를 지정하지만 MAC 주소(예<mac value=11:22:33:44:55:66/>: 또는) 또는 <mac value=11-22-33-44-55-66/>SMBIOS GUID(예<guid value={269076F9-4B77-46E1-B03B-CA5003775B88}/>: )를 사용하여 대상 컴퓨터를 식별할 수도 있습니다. 암호화 키 (동일 지정 하거나 대상 컴퓨터에서 Bcdedit를 사용 하 여 생성 된) 및 컴퓨터 이름의 note도 합니다.

  4. 구성 파일에서 각 대상 컴퓨터에 대한 세부 정보를 별도의 <대상> 요소로 입력한 다음 Newconfig.xml을 저장하고 메모장 닫습니다.

  5. 사용 하 여 새 구성을 적용 $result = (Get-Content .\newconfig.xml | Set-SbecActiveConfig); $result합니다. 출력은 성공 필드 true와 함께 반환되어야 합니다. 다른 결과 얻으려면이 항목의 문제 해결 섹션을 참조 합니다.

현재 활성 구성으로 검사할 수 (Get-SbecActiveConfig).text합니다.

사용 하 여 구성 파일의 유효성 검사를 수행할 수 있습니다 $result = (Get-Content .\newconfig.xml | Check-SbecConfig); $result합니다.

다시 시작할 필요 없이 서비스를 업데이트 하는 자동으로 새 구성을 적용 하려면 Windows PowerShell 명령, 경우에 항상 다시 시작할 수 있습니다 서비스 직접 사용 하 여 다음이 명령 중:

  • Windows PowerShell 사용: Restart-Service BootEventCollector

  • 일반 명령 프롬프트에: BootEventCollector 중지 sc; sc BootEventCollector 시작

대상 컴퓨터와 Nano 서버 구성

Nano Server가 제공하는 최소한의 인터페이스로 인해 때때로 문제를 진단하기가 어려울 수 있습니다. 사용자에 게 서 추가 개입 없이 수집기 컴퓨터에 진단 데이터를 전송 자동으로 설치 및 부팅 이벤트 수집에 참여 하 여 Nano 서버 이미지를 구성할 수 있습니다. 이렇게 하려면 다음 단계를 수행합니다.

대상 컴퓨터와 Nano 서버를 구성 하려면

  1. 기본 Nano 서버 이미지를 만듭니다. 참조 Nano 서버 시작 대 한 자세한 내용은 합니다.

  2. 이 항목의 수집기 컴퓨터 구성 섹션에서와 같이 수집기 컴퓨터를 설정합니다.

  3. 진단 메시지를 보낼 수 있도록 AutoLogger 레지스트리 키를 추가 합니다. 1 단계에서에서 만든 Nano 서버 VHD를 탑재 합니다. 이렇게 하려면 레지스트리 하이브를 로드 고 특정 레지스트리 키를 추가 합니다. 이 예에서 Nano 서버 이미지 C:\NanoServer;에 경로는 다를 수, 있으므로 단계를 적절 하 게 조정 수도 있습니다.

    1. 수집기 컴퓨터에서 복사 된 ... \Windows\System32\WindowsPowerShell\v1.0\Modules\BootEventCollector 폴더에 붙여 넣을 ... \Windows\System32\WindowsPowerShell\v1.0\Modules 디렉터리 Nano 서버 VHD를 수정 하는 데 사용 하는 컴퓨터에 있습니다.

    2. 승격 된 권한으로 Windows PowerShell 콘솔을 시작 하 고 실행 Import-Module BootEventCollector 합니다.

    3. AutoLoggers 사용할 수 있도록 Nano 서버 VHD 레지스트리를 업데이트 합니다. 이 위해 실행 Enable-SbecAutoLogger -Path C:\NanoServer\Workloads\IncludingWorkloads.vhd합니다. 가장 일반적인 설치 및 부팅 이벤트;의 기본 목록 추가 다른 사용자를 알아보고 이벤트 추적 세션을 제어합니다.

  4. 이벤트 플래그를 설정 하 고 올바른 서버에 전송 되 게 진단 이벤트 수집기 컴퓨터를 설정 하려면 Nano 서버 이미지에 BCD 설정을 업데이트 합니다. Note 수집기 컴퓨터의 IPv4 주소, TCP 포트 및 암호화 키 (이 항목에서 다른 곳에서 설명)는 수집기 Active.XML 파일에서 구성 합니다. 관리자 권한으로 Windows PowerShell 콘솔에서 다음 명령을 사용합니다. Enable-SbecBcd -Path C:\NanoServer\Workloads\IncludingWorkloads.vhd -CollectorIp 192.168.100.1 -CollectorPort 50000 -Key a.b.c.d

  5. 수집기 컴퓨터의 Active.XML 파일에 IPv4 주소 범위, 특정 IPv4 주소 또는 Nano 서버의 MAC 주소를 추가하여 Nano Server 컴퓨터에서 보낸 이벤트를 수신하도록 수집기 컴퓨터를 업데이트합니다(이 항목의 수집기 컴퓨터 구성 섹션 참조).

이벤트 수집기 서비스를 시작합니다.

수집기 컴퓨터에서 유효한 구성 파일을 저장 하 고 대상 컴퓨터 구성 된 대상 컴퓨터를 다시 시작, 수집기에 연결 되 고 이벤트를 수집 합니다.

(이 서비스에 의해 수집 된 설정 및 부팅 데이터 구분) 수집기 서비스 자체에 대 한 로그는 Microsoft-Windows-BootEvent-수집기/관리자에서 찾을 수 있습니다. 이벤트에 대 한 그래픽 인터페이스에 대 한 이벤트 뷰어를 사용 합니다. 새 보기, 만들기 확장 애플리케이션 및 서비스 로그, 를 확장 한 다음 Microsoft 차례로 Windows합니다. 찾을 BootEvent 수집기, 확장 하 고 찾을 Admin합니다.

  • Windows PowerShell 사용: Get-WinEvent -LogName Microsoft-Windows-BootEvent-Collector/Admin

  • 일반 명령 프롬프트에: wevtutil qe Microsoft-Windows-BootEvent-수집기/관리

문제 해결

기능의 설치 문제 해결

오류 오류 설명 증상 잠재적인 문제
Dism.exe 87 기능 이름 옵션은이 컨텍스트에서 아닙니다. 기능 이름을 잘못 입력하면 이 오류가 발생할 수 있습니다. 올바른 철자 있고 다시 시도 확인 합니다. 사용 중인 운영 체제 버전에서 이 기능을 사용할 수 있는지 확인합니다. Windows PowerShell에서 dism /online /get-features &#124; ?{$_ -match boot}를 실행합니다. 일치 하는 항목이 반환 되 면이 기능을 지원 하지 않는 버전을 실행 아마도 해야 합니다.
Dism.exe 0x800f080c 기능을 <name> 알 수 없습니다. 위와 동일

수집기 문제 해결

로깅: 수집기는 자체 이벤트를 ETW 공급자 Microsoft-Windows-BootEvent-Collector로 기록합니다. 이 수집기와 함께 문제 해결을 위한 같아야 합니다. 첫 번째 위치입니다. 애플리케이션 및 서비스 로그 > Microsoft > Windows > BootEvent-Collector > 관리 아래 이벤트 뷰어 찾을 수 있습니다. 또는 다음 명령 중 하나를 사용하여 명령 창에서 읽을 수 있습니다.

일반 명령 프롬프트에: wevtutil qe Microsoft-Windows-BootEvent-수집기/관리

Windows PowerShell 프롬프트에서: Get-WinEvent -LogName Microsoft-Windows-BootEvent-Collector/Admin (추가할 수 있습니다 -Oldest 을 반환 하는 가장 오래 된 이벤트와 함께 시간 순서 대로 먼저)

경고, 정보(기본값), 자세한 정보 및 디버그를 통해 오류로부터 로그의 세부 수준을 조정할 수 있습니다. 정보보다 더 자세한 수준은 연결되지 않는 대상 컴퓨터의 문제를 진단하는 데 유용하지만 많은 양의 데이터를 생성할 수 있으므로 주의해서 사용합니다.

구성 파일의 수집기> 요소에서 <최소 로그 수준을 설정합니다. 예: <collector configVersionMajor=1 minlog=verbose>.

자세한 정보 표시 수준 모든 패킷이 처리 되는 동안 수신에 대 한 레코드를 기록 합니다. 디버그 수준 자세히 처리를 추가 하 고 수신된 된 모든 ETW 패킷에의 콘텐츠를 덤프 합니다.

디버그 수준에서 일반적인 로깅 시스템에서에 보려고 하는 대신 파일에 로그를 쓰는 것이 유용할 수 있습니다. 이렇게 하려면 구성 파일의 수집기> 요소에 <추가 요소를 추가합니다.

<collector configVersionMajor=1 minlog=debug log=c:\ProgramData\Microsoft\BootEventCollector\Logs\log.txt>

수집기 문제 해결에 대한 제안된 접근 방식:

  1. 첫째, 수집기가 받았는지 확인 연결 (만들어집니다 파일 대상에서 메시지를 보내기 시작 하는 경우에) 대상에서 사용

    Get-SbecForwarding

    이 대상에서 연결 되어 있는 반환 하는 경우에 autologger 설정에는 문제 수 있습니다. Nothing을 반환 하는 경우 문제가 KDNET 연결으로 시작 하 여이 있습니다. KDNET 연결 문제를 진단 하려는 확인하실 양쪽 끝에서 연결 (즉, 대상 및 수집기에서).

  2. Collector에서 확장된 진단 보려면 구성 파일<의 수집기 <> 요소에 이 항목을 추가합니다. 수집기... minlog=verbose> 수신된 모든 패킷에 대한 메시지를 사용하도록 설정합니다.

  3. 모든 패킷이 전혀 수신 되는지 여부를 확인 합니다. 필요에 따라 다음 파일을 대신 ETW를 통해 직접 세부 정보 표시 모드에서 로그를 작성 하는 것이 좋습니다. 이렇게 하려면 구성 파일<의 수집기> 요소에 <이 값을 추가합니다. 수집기... minlog=verbose log=c:\ProgramData\Microsoft\BootEventCollector\Logs\log.txt>

  4. 받은 패킷에 대 한 메시지에 대 한 이벤트 로그를 확인 합니다. 모든 패킷이 전혀 수신 되는지 여부를 확인 합니다. 패킷을 수신 하는 잘못 된 경우 세부 정보에 대 한 이벤트 메시지를 확인 합니다.

  5. 대상 쪽에서 KDNET 레지스트리에 일부 진단 정보를 기록 합니다. HKLM\SYSTEM\CurrentControlSet\Services\kdnet에서 메시지를 확인합니다. KdInitStatus(DWORD)는 성공 시 = 0이며 오류 KdInitErrorString = 오류에 대한 설명에 오류 코드를 표시합니다(오류가 없으면 정보 메시지도 포함됨).

  6. 대상 및 디바이스 이름 보고에 대 한 확인에서 Ipconfig.exe를 실행 합니다. KDNET이 제대로 로드된 경우 디바이스 이름은 원래 공급업체의 카드 이름 대신 kdnic와 같아야 합니다.

  7. DHCP는 대상에 대해 구성 되어 있는지 확인 합니다. KDNET DHCP를 절대적으로 필요합니다.

  8. 수집기를 대상으로 동일한 네트워크에 있는지 확인 하십시오. 그렇지 않으면 라우팅 구성 되어 있는지 확인 올바르게, 특히 DHCP에 대 한 설정 기본 게이트웨이.

커넥트ion 상태

현재 설정 된 연결 및 데이터를 전달 하는 위치에 대 한 정보 목록을 확인할 수 있습니다 Get-SbecForwarding합니다.

와 연결에 상태 변경의 최근 기록을 가져올 수도 있습니다 Get-SbecHistory합니다.

새 구성을 설정 하는 문제 해결

Windows PowerShell 명령 사용 하 여 구성을 적용 한 경우 $result = (Get-Content .\newconfig.xml | Set-SbecActiveConfig); $result, 다음 변수 $result 배포에 대 한 정보가 포함 됩니다. 이 변수에서 서로 다른 정보를 쿼리할 수 있습니다.

사용 하 여 오류에 대 한 정보를 가져올 $result.ErrorString합니다. 여기에 오류가 보고 되, 새 구성을 적용 하지 않습니다 하 고 이전 구성을 변경 되지 않습니다.

경고를 가져오는 $result.WarningString합니다.

구성에 대 한 세부 정보에 대 한 정보를 가져올 $result.InfoString합니다.

전체 결과를 가져올 수 있습니다 $result | fl *합니다. 또는 결과 변수에 저장 하지 않으려는 경우 사용할 수 있습니다 Get-Content .\newconfig.xml | Set-SbecActiveConfig | fl *합니다.

대상 컴퓨터의 문제 해결

오류 오류 설명 잠재적인 문제
대상 컴퓨터 대상은 수집기에 연결 되지 않습니다. 대상 컴퓨터가 구성된 후 다시 시작되지 않았습니다. 대상 컴퓨터를 다시 시작 합니다. 대상 컴퓨터에 잘못된 BCD 설정이 있습니다. 대상 컴퓨터 설정 유효성 검사 섹션에서 설정을 확인합니다. 필요에 따라 잡고 대상 컴퓨터를 다시 시작 합니다.

KDNET/EVENT-NET 드라이버가 네트워크 어댑터에 연결할 수 없거나 잘못된 네트워크 어댑터에 연결되었습니다. Windows PowerShell에서 실행 gwmi Win32_NetworkAdapter ServiceName 사용에 대 한 출력을 확인 하 고 kdnic합니다. 잘못된 네트워크 어댑터를 선택한 경우 네트워크 어댑터를 지정하려면 다음 단계를 다시 수행합니다. 네트워크 어댑터 전혀 나타나지 않으면 드라이버는 네트워크 어댑터를 지원 하지 않습니다 수 있습니다.

참고 항목: 위의 수집기, 특히 5~8단계의 문제를 해결하는 제안된 방법입니다.
데이터 수집기 더 이상 이벤트 수집기 내에서 호스팅되는 VM을 마이그레이션한 후 표시 합니다. 수집기 컴퓨터의 IP 주소 변경 되지 않은 것을 확인 합니다. 있는 경우 원격으로 전송을 통해 ETW 이벤트를 보낼 수 있도록 하려면 검토합니다.
데이터 수집기 ETL 파일 생성 되지 않습니다. Get-SbecForwarding 은 대상에 연결되었지만 오류 없이 ETL 파일이 만들어지지 않음을 보여 주는 것입니다.

대상 컴퓨터에서 아직; 모든 데이터를 보내 않을 ETL 파일은 데이터를 받을 때에 만들어집니다.
데이터 수집기 이벤트는 ETL 파일에는 표시 되지 않습니다. 대상 컴퓨터에 이벤트 보냈지만 Message Analyzer의 이벤트 뷰어, ETL 파일을 읽고 이벤트가 없는 경우. 이벤트는 여전히 버퍼에 있을 수 있습니다. 이벤트는 수집 되는 전체 64KB 버퍼 또는 없는 새 이벤트로 약 10-15 초 시간 제한이 발생 될 때까지 ETL 파일에 기록 되지 않습니다. 제한 시간이 만료 되거나와 버퍼를 플러시하게 기다리거나 Save-SbecInstance합니다.

수집기 컴퓨터나 이벤트 뷰어 또는 Message Analyzer가 실행되는 컴퓨터에서는 이벤트 매니페스트를 사용할 수 없습니다. 이 경우에 수집기 (수집기 로그를 확인) 이벤트를 처리 하지 못할 수 있습니다 또는 뷰어에 표시 되도록 못할 수 있습니다. 수집기 컴퓨터에 설치 된 모든 매니페스트는 대상 컴퓨터에 설치 하기 전에 수집기 컴퓨터에서 업데이트를 설치 하는 것이 좋습니다.