Zaawansowane rozwiązywanie problemów z łącznością sieci bezprzewodowej

Wypróbuj naszego agenta wirtualnego — może pomóc w szybkim zidentyfikowaniu i rozwiązaniu typowych problemów z technologią bezprzewodową.

Uwaga 16.

Użytkownicy domowi: ten artykuł jest przeznaczony dla pracowników pomocy technicznej i informatyków. Jeśli szukasz bardziej ogólnych informacji na temat problemów z siecią Wi-Fi w systemie Windows 10, zapoznaj się z tym artykułem dotyczącym poprawki systemu Windows 10 Wi-Fi.

Dotyczy: system Windows 10

Omówienie

W tym omówieniu opisano ogólne rozwiązywanie problemów z nawiązywaniem połączeń sieci Wi-Fi z klientów systemu Windows. Rozwiązywanie problemów z połączeniami sieci Wi-Fi wymaga zrozumienia podstawowego przepływu maszyny stanu automatycznego łączenia sieci Wi-Fi. Zrozumienie tego przepływu ułatwia określenie punktu początkowego w scenariuszu odtworzenia, w którym znaleziono inne zachowanie.

Ten przepływ pracy obejmuje wiedzę i użycie narzędzia TextAnalysisTool, obszernego narzędzia do filtrowania tekstu, które jest przydatne w przypadku złożonych śladów z wieloma dostawcami ETW, takimi jak scenariusz śledzenia wireless_dbg.

Scenariusze

Ten artykuł dotyczy dowolnego scenariusza, w którym nie można ustanowić połączeń sieci Wi-Fi. Narzędzie do rozwiązywania problemów jest opracowywane z klientami systemu Windows 10 w centrum uwagi, ale może być również przydatne ze śladami aż do systemu Windows 7.

Uwaga 16.

To narzędzie do rozwiązywania problemów używa przykładów, które przedstawiają ogólną strategię nawigowania i interpretowania śledzenia zdarzeń składnika bezprzewodowego dla systemu Windows (ETW). Nie ma być reprezentatywne dla każdego scenariusza problemu bezprzewodowego.

Bezprzewodowe ETW jest niezwykle pełne i wywołuje wiele nieszkodliwych błędów (raczej oflagowane zachowania, które mają niewiele lub nic wspólnego ze scenariuszem problemu). Wyszukiwanie lub filtrowanie "err", "error" i "fail" rzadko prowadzi do głównej przyczyny problematycznego scenariusza sieci Wi-Fi. Zamiast tego zala ekran bez znaczenia dzienniki, które zaciemniają kontekst rzeczywistego problemu.

Ważne jest, aby zrozumieć różne zaangażowane składniki sieci Wi-Fi, ich oczekiwane zachowania i sposób, w jaki scenariusz problemu różni się od tych oczekiwanych zachowań. Celem tego narzędzia do rozwiązywania problemów jest pokazanie, jak znaleźć punkt wyjścia w szczegółowości wireless_dbg ETW i domu w odpowiedzialnych składnikach, które powodują problem z połączeniem.

Znane problemy i poprawki

Wersja systemu operacyjnego	Naprawiono w
Windows 10, wersja 1803	KB4284848
Windows 10, wersja 1709	KB4284822
Windows 10, wersja 1703	KB4338827

Upewnij się, że zainstalowano najnowsze aktualizacje systemu Windows, aktualizacje skumulowane i aktualizacje zbiorcze. Aby sprawdzić stan aktualizacji, zapoznaj się z odpowiednią stroną internetową historii aktualizacji dla systemu:

• Windows 10 w wersji 1809
• Windows 10 w wersji 1803
• Windows 10 w wersji 1709
• Windows 10 w wersji 1703
• Windows 10 w wersji 1607 i Windows Server 2016
• Windows 10 w wersji 1511
• Windows 8.1 i Windows Server 2012 R2
• Windows Server 2012
• Windows 7 z dodatkiem SP1 i Windows Server 2008 R2 z dodatkiem SP1

Zbieranie danych

1. Przechwytywanie sieci za pomocą funkcji ETW. Wprowadź następujące polecenie w wierszu polecenia z podwyższonym poziomem uprawnień:

   netsh trace start wireless_dbg capture=yes overwrite=yes maxsize=4096 tracefile=c:\tmp\wireless.etl
   

2. Odtwórz problem.

   • Jeśli nie można nawiązać połączenia, spróbuj nawiązać połączenie ręcznie.
   • Jeśli jest sporadycznie, ale łatwo odtwarzalny, spróbuj ręcznie nawiązać połączenie, dopóki nie powiedzie się. Zarejestruj czas każdej próby połączenia i określ, czy zakończyła się powodzeniem, czy niepowodzeniem.
   • Jeśli problem występuje sporadycznie, ale rzadko, polecenie netsh trace stop musi zostać wyzwolone automatycznie (lub co najmniej alert do administratora szybko), aby upewnić się, że śledzenie nie zastępuje danych odtworzenia.
   • Jeśli sporadyczne połączenie przerywa uruchamianie wyzwalacza polecenia stop w skrypcie (ping lub testowa sieć stale do czasu awarii, a następnie netsh trace stop).

3. Zatrzymaj śledzenie, wprowadzając następujące polecenie:

   netsh trace stop
   

4. Aby przekonwertować plik wyjściowy na format tekstowy:

   netsh trace convert c:\tmp\wireless.etl
   

Zobacz przykład przechwytywania ETW w dolnej części tego artykułu, aby zapoznać się z przykładem danych wyjściowych polecenia. Po uruchomieniu tych poleceń będziesz mieć trzy pliki: wireless.cab, wireless.etl i wireless.txt.

Rozwiązywanie problemów

Poniższy widok to jeden z głównych składników sieci Wi-Fi w systemie Windows.

Składniki sieci Wi-Fi	opis
	Menedżer połączeń systemu Windows (Wcmsvc) jest ściśle skojarzony z kontrolkami interfejsu użytkownika (ikona paska zadań) w celu nawiązania połączenia z różnymi sieciami, w tym sieciami bezprzewodowymi. Akceptuje i przetwarza dane wejściowe od użytkownika i karmi go do podstawowej usługi bezprzewodowej.
	Usługa automatycznej konfiguracji sieci WLAN (WlanSvc) obsługuje następujące podstawowe funkcje sieci bezprzewodowych w oknach: Skanowanie pod kątem sieci bezprzewodowych w zakresie Zarządzanie łącznością sieci bezprzewodowych
	Moduł Media Specific Module (MSM) obsługuje aspekty zabezpieczeń nawiązywania połączenia.
	Natywny stos sieci Wi-Fi składa się ze sterowników i interfejsów API bezprzewodowych do interakcji z miniportami bezprzewodowymi i pomocniczym trybem użytkownika Wlansvc.
	Sterowników bezprzewodowych miniportów innych firm interfejs z górnym stosem bezprzewodowym w celu dostarczania powiadomień i odbierania poleceń z systemu Windows.

Maszyna stanu połączenia sieci Wi-Fi ma następujące stany:

• Reset
• Ihv_Configuring
• Konfigurowanie
• Kojarzenie
• Uwierzytelnianie
• Roaming
• Wait_For_Disconnected
• Odłączony

Standardowe połączenia wi-fi mają tendencję do przejścia między stanami, takimi jak:

• Łączenie

  Resetuj —> Ihv_Configuring —> Konfigurowanie —> kojarzenie —> uwierzytelnianie —> połączone

• Odłączanie

  Połączone —> roaming —> Wait_For_Disconnected —> rozłączone —> resetowanie

Filtrowanie śledzenia ETW za pomocą narzędzia TextAnalysisTool (TAT) jest łatwym pierwszym krokiem do określenia, gdzie konfiguracja połączenia zakończyła się niepowodzeniem. Przydatny plik filtru sieci Wi-Fi znajduje się w dolnej części tego artykułu.

Użyj filtru śledzenia przejścia FSM, aby wyświetlić maszynę stanu połączenia. Możesz zobaczyć przykład tego filtru zastosowanego w usłudze TAT w dolnej części tej strony.

Przykładem dobrej konfiguracji połączenia jest:

44676 [2]0F24.1020::‎2018‎-‎09‎-‎17 10:22:14.658 [Microsoft-Windows-WLAN-AutoConfig]FSM Transition from State: Disconnected to State: Reset
45473 [1]0F24.1020::‎2018‎-‎09‎-‎17 10:22:14.667 [Microsoft-Windows-WLAN-AutoConfig]FSM Transition from State: Reset to State: Ihv_Configuring
45597 [3]0F24.1020::‎2018‎-‎09‎-‎17 10:22:14.708 [Microsoft-Windows-WLAN-AutoConfig]FSM Transition from State: Ihv_Configuring to State: Configuring
46085 [2]0F24.17E0::‎2018‎-‎09‎-‎17 10:22:14.710 [Microsoft-Windows-WLAN-AutoConfig]FSM Transition from State: Configuring to State: Associating
47393 [1]0F24.1020::‎2018‎-‎09‎-‎17 10:22:14.879 [Microsoft-Windows-WLAN-AutoConfig]FSM Transition from State: Associating to State: Authenticating
49465 [2]0F24.17E0::‎2018‎-‎09‎-‎17 10:22:14.990 [Microsoft-Windows-WLAN-AutoConfig]FSM Transition from State: Authenticating to State: Connected

Przykładem nieudanej konfiguracji połączenia jest:

44676 [2]0F24.1020::‎2018‎-‎09‎-‎17 10:22:14.658 [Microsoft-Windows-WLAN-AutoConfig]FSM Transition from State: Disconnected to State: Reset
45473 [1]0F24.1020::‎2018‎-‎09‎-‎17 10:22:14.667 [Microsoft-Windows-WLAN-AutoConfig]FSM Transition from State: Reset to State: Ihv_Configuring
45597 [3]0F24.1020::‎2018‎-‎09‎-‎17 10:22:14.708 [Microsoft-Windows-WLAN-AutoConfig]FSM Transition from State: Ihv_Configuring to State: Configuring
46085 [2]0F24.17E0::‎2018‎-‎09‎-‎17 10:22:14.710 [Microsoft-Windows-WLAN-AutoConfig]FSM Transition from State: Configuring to State: Associating
47393 [1]0F24.1020::‎2018‎-‎09‎-‎17 10:22:14.879 [Microsoft-Windows-WLAN-AutoConfig]FSM Transition from State: Associating to State: Authenticating
49465 [2]0F24.17E0::‎2018‎-‎09‎-‎17 10:22:14.990 [Microsoft-Windows-WLAN-AutoConfig]FSM Transition from State: Authenticating to State: Roaming

Identyfikując stan, w którym połączenie kończy się niepowodzeniem, można skupić się bardziej szczegółowo na śledzeniu dzienników przed ostatnim znanym dobrym stanem

Badanie dzienników [Microsoft-Windows-WLAN-AutoConfig] przed nieprawidłową zmianą stanu powinno wskazywać dowody błędu. Często jednak błąd jest propagowany za pośrednictwem innych składników bezprzewodowych. W wielu przypadkach następnym składnikiem zainteresowania będzie MSM, który znajduje się tuż poniżej Wlansvc.

Ważne składniki programu MSM obejmują:

• Security Manager (SecMgr) — obsługuje wszystkie operacje zabezpieczeń przed połączeniem i po połączeniu.

• Aparat uwierzytelniania (AuthMgr) — zarządza żądaniami uwierzytelniania 802.1x

  

Każdy z tych składników ma własne maszyny stanu, które są zgodne z określonymi przejściami. Włącz filtry , SecMgr Transitioni AuthMgr Transition w narzędziu FSM transitionTextAnalysisTool, aby uzyskać więcej szczegółów.

W poprzednim przykładzie połączone filtry wyglądają podobnie jak w poniższym przykładzie polecenia:

[2] 0C34.2FF0::08/28/17-13:24:28.693 [Microsoft-Windows-WLAN-AutoConfig]FSM Transition from State:
Reset to State: Ihv_Configuring
[2] 0C34.2FF0::08/28/17-13:24:28.693 [Microsoft-Windows-WLAN-AutoConfig]FSM Transition from State:
Ihv_Configuring to State: Configuring
[1] 0C34.2FE8::08/28/17-13:24:28.711 [Microsoft-Windows-WLAN-AutoConfig]FSM Transition from State:
Configuring to State: Associating
[0] 0C34.275C::08/28/17-13:24:28.902 [Microsoft-Windows-WLAN-AutoConfig]Port[13] Peer 8A:15:14:B6:25:10 SecMgr Transition INACTIVE (1) --> ACTIVE (2)
[0] 0C34.275C::08/28/17-13:24:28.902 [Microsoft-Windows-WLAN-AutoConfig]Port[13] Peer 8A:15:14:B6:25:10 SecMgr Transition ACTIVE (2) --> START AUTH (3)
[4] 0EF8.0708::08/28/17-13:24:28.928 [Microsoft-Windows-WLAN-AutoConfig]Port (14) Peer 0x186472F64FD2 AuthMgr Transition ENABLED  --> START_AUTH
[3] 0C34.2FE8::08/28/17-13:24:28.902 [Microsoft-Windows-WLAN-AutoConfig]FSM Transition from State:
Associating to State: Authenticating
[1] 0C34.275C::08/28/17-13:24:28.960 [Microsoft-Windows-WLAN-AutoConfig]Port[13] Peer 8A:15:14:B6:25:10 SecMgr Transition START AUTH (3) --> WAIT FOR AUTH SUCCESS (4)
[4] 0EF8.0708::08/28/17-13:24:28.962 [Microsoft-Windows-WLAN-AutoConfig]Port (14) Peer 0x186472F64FD2 AuthMgr Transition START_AUTH  --> AUTHENTICATING
[2] 0C34.2FF0::08/28/17-13:24:29.751 [Microsoft-Windows-WLAN-AutoConfig]Port[13] Peer 8A:15:14:B6:25:10 SecMgr Transition WAIT FOR AUTH SUCCESS (7) --> DEACTIVATE (11)
[2] 0C34.2FF0::08/28/17-13:24:29.7512788 [Microsoft-Windows-WLAN-AutoConfig]Port[13] Peer 8A:15:14:B6:25:10 SecMgr Transition DEACTIVATE (11) --> INACTIVE (1)
[2] 0C34.2FF0::08/28/17-13:24:29.7513404 [Microsoft-Windows-WLAN-AutoConfig]FSM Transition from State:
Authenticating to State: Roaming

Uwaga 16.

W następnym wierszu przejście programu SecMgr nagle się dezaktywuje:
[2] 0C34.2FF0::08/28/17-13:24:29.7512788 [Microsoft-Windows-WLAN-AutoConfig]Port[13] Peer 8A:15:14:B6:25:10 SecMgr Transition DEZAKTYWACJA (11) -> NIEAKTYWNY (1)

To przejście jest ostatecznie propagowane do głównej maszyny stanu połączenia i powoduje przeniesienie fazy uwierzytelniania do stanu roamingu. Tak jak wcześniej, warto skupić się na śledzeniu przed tym zachowaniem programu SecMgr, aby określić przyczynę dezaktywacji.

Włączenie filtru Microsoft-Windows-WLAN-AutoConfig spowoduje wyświetlenie bardziej szczegółowych informacji prowadzących do przejścia DEZAKTYWUJ:

[3] 0C34.2FE8::08/28/17-13:24:28.902 [Microsoft-Windows-WLAN-AutoConfig]FSM Transition from State:
Associating to State: Authenticating
[1] 0C34.275C::08/28/17-13:24:28.960 [Microsoft-Windows-WLAN-AutoConfig]Port[13] Peer 8A:15:14:B6:25:10 SecMgr Transition START AUTH (3) --> WAIT FOR AUTH SUCCESS (4)
[4] 0EF8.0708::08/28/17-13:24:28.962 [Microsoft-Windows-WLAN-AutoConfig]Port (14) Peer 0x186472F64FD2 AuthMgr Transition START_AUTH  --> AUTHENTICATING
[0]0EF8.2EF4::‎08/28/17-13:24:29.549 [Microsoft-Windows-WLAN-AutoConfig]Received Security Packet: PHY_STATE_CHANGE
[0]0EF8.2EF4::08/28/17-13:24:29.549 [Microsoft-Windows-WLAN-AutoConfig]Change radio state for interface = Intel(R) Centrino(R) Ultimate-N 6300 AGN :  PHY = 3, software state = on , hardware state = off )
[0] 0EF8.1174::‎08/28/17-13:24:29.705 [Microsoft-Windows-WLAN-AutoConfig]Received Security Packet: PORT_DOWN
[0] 0EF8.1174::‎08/28/17-13:24:29.705 [Microsoft-Windows-WLAN-AutoConfig]FSM Current state Authenticating , event Upcall_Port_Down
[0] 0EF8.1174:: 08/28/17-13:24:29.705 [Microsoft-Windows-WLAN-AutoConfig]Received IHV PORT DOWN, peer 0x186472F64FD2
[2] 0C34.2FF0::08/28/17-13:24:29.751 [Microsoft-Windows-WLAN-AutoConfig]Port[13] Peer 8A:15:14:B6:25:10 SecMgr Transition WAIT FOR AUTH SUCCESS (7) --> DEACTIVATE (11)
 [2] 0C34.2FF0::08/28/17-13:24:29.7512788 [Microsoft-Windows-WLAN-AutoConfig]Port[13] Peer 8A:15:14:B6:25:10 SecMgr Transition DEACTIVATE (11) --> INACTIVE (1)
[2] 0C34.2FF0::08/28/17-13:24:29.7513404 [Microsoft-Windows-WLAN-AutoConfig]FSM Transition from State:
Authenticating to State: Roaming

Ślad do tyłu wyświetla powiadomienie o dół portu:

[0] 0EF8.1174:: 08/28/17-13:24:29.705 [Microsoft-Windows-WLAN-AutoConfig]Odebrano port IHV, równorzędny 0x186472F64FD2

Zdarzenia portów wskazują zmiany bliżej sprzętu bezprzewodowego. Szlak można śledzić, kontynuując sprawdzenie pochodzenia tego wskazania.

Poniżej, MSM jest natywny stos wifi. Te sterowniki są natywne sterowniki Wi-Fi systemu Windows, które rozmawiają z sterownikami miniport wifi. Jest on odpowiedzialny za konwertowanie pakietów Wi-Fi (802.11) na 802.3 (Ethernet), tak aby TCPIP i inne protokoły mogły z niego korzystać.

Włącz filtr śledzenia dla elementu [Microsoft-Windows-NWifi]:

[3] 0C34.2FE8::08/28/17-13:24:28.902 [Microsoft-Windows-WLAN-AutoConfig]FSM Transition from State:
Associating to State: Authenticating
[1] 0C34.275C::08/28/17-13:24:28.960 [Microsoft-Windows-WLAN-AutoConfig]Port[13] Peer 8A:15:14:B6:25:10 SecMgr Transition START AUTH (3) --> WAIT FOR AUTH SUCCESS (4)
[4] 0EF8.0708::08/28/17-13:24:28.962 [Microsoft-Windows-WLAN-AutoConfig]Port (14) Peer 0x8A1514B62510 AuthMgr Transition START_AUTH  --> AUTHENTICATING
[0]0000.0000::‎08/28/17-13:24:29.127 [Microsoft-Windows-NWiFi]DisAssoc: 0x8A1514B62510 Reason: 0x4
[0]0EF8.2EF4::‎08/28/17-13:24:29.549 [Microsoft-Windows-WLAN-AutoConfig]Received Security Packet: PHY_STATE_CHANGE
[0]0EF8.2EF4::08/28/17-13:24:29.549 [Microsoft-Windows-WLAN-AutoConfig]Change radio state for interface = Intel(R) Centrino(R) Ultimate-N 6300 AGN :  PHY = 3, software state = on , hardware state = off )
[0] 0EF8.1174::‎08/28/17-13:24:29.705 [Microsoft-Windows-WLAN-AutoConfig]Received Security Packet: PORT_DOWN
[0] 0EF8.1174::‎08/28/17-13:24:29.705 [Microsoft-Windows-WLAN-AutoConfig]FSM Current state Authenticating , event Upcall_Port_Down
[0] 0EF8.1174:: 08/28/17-13:24:29.705 [Microsoft-Windows-WLAN-AutoConfig]Received IHV PORT DOWN, peer 0x186472F64FD2
[2] 0C34.2FF0::08/28/17-13:24:29.751 [Microsoft-Windows-WLAN-AutoConfig]Port[13] Peer 8A:15:14:B6:25:10 SecMgr Transition WAIT FOR AUTH SUCCESS (7) --> DEACTIVATE (11)
 [2] 0C34.2FF0::08/28/17-13:24:29.7512788 [Microsoft-Windows-WLAN-AutoConfig]Port[13] Peer 8A:15:14:B6:25:10 SecMgr Transition DEACTIVATE (11) --> INACTIVE (1)
[2] 0C34.2FF0::08/28/17-13:24:29.7513404 [Microsoft-Windows-WLAN-AutoConfig]FSM Transition from State:
Authenticating to State: Roaming

W powyższym śladzie widzimy wiersz:

[0]0000.0000::‎08/28/17-13:24:29.127 [Microsoft-Windows-NWiFi]DisAssoc: 0x8A1514B62510 Reason: 0x4

Po tym wierszu następuje PHY_STATE_CHANGE i zdarzenia PORT_DOWN z powodu braku skojarzenia pochodzącego z punktu dostępu (AP) jako wskazania odmowy połączenia. Może to być spowodowane nieprawidłowymi poświadczeniami, parametrami połączenia, utratą sygnału/roamingu i różnymi innymi przyczynami przerwania połączenia. W tym miejscu należy zbadać przyczynę usunięcia skojarzenia wysłanego ze wskazanego ap MAC (8A:15:14:B6:25:10). Ta akcja byłaby wykonywana przez sprawdzenie wewnętrznego rejestrowania/śledzenia z ap.

Więcej informacji

• 802.11 Narzędzia bezprzewodowe i ustawienia
• Opis uwierzytelniania 802.1X dla sieci bezprzewodowych

Przykład przechwytywania ETW

C:\tmp>netsh trace start wireless_dbg capture=yes overwrite=yes maxsize=4096 tracefile=c:\tmp\wireless.etl

Trace configuration:
-------------------------------------------------------------------
Status:             Running
Trace File:         C:\tmp\wireless.etl
Append:             Off
Circular:           On
Max Size:           4096 MB
Report:             Off

C:\tmp>netsh trace stop
Correlating traces ... done
Merging traces ... done
Generating data collection ... done
The trace file and additional troubleshooting information have been compiled as "c:\tmp\wireless.cab".
File location = c:\tmp\wireless.etl
Tracing session was successfully stopped.

C:\tmp>netsh trace convert c:\tmp\wireless.etl

Input file:  c:\tmp\wireless.etl
Dump file:   c:\tmp\wireless.txt
Dump format: TXT
Report file: -
Generating dump ... done

C:\tmp>dir
 Volume in drive C has no label.
 Volume Serial Number is 58A8-7DE5

 Directory of C:\tmp

01/09/2019  02:59 PM    [DIR]          .
01/09/2019  02:59 PM    [DIR]          ..
01/09/2019  02:59 PM         4,855,952 wireless.cab
01/09/2019  02:56 PM         2,752,512 wireless.etl
01/09/2019  02:59 PM         2,786,540 wireless.txt
               3 File(s)     10,395,004 bytes
               2 Dir(s)  46,648,332,288 bytes free

Plik filtru sieci Wi-Fi

Skopiuj i wklej wszystkie poniższe wiersze i zapisz je w pliku tekstowym o nazwie wifi.tat. Załaduj plik filtru do narzędzia TextAnalysisTool, wybierając pozycję Filtry ładowania plików>.

<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<TextAnalysisTool.NET version="2018-01-03" showOnlyFilteredLines="False">
  <filters>
    <filter enabled="n" excluding="n" description="" foreColor="000000" backColor="d3d3d3" type="matches_text" case_sensitive="n" regex="n" text="[Microsoft-Windows-OneX]" />
    <filter enabled="y" excluding="y" description="" foreColor="000000" backColor="ffffff" type="matches_text" case_sensitive="n" regex="n" text="[Unknown]" />
    <filter enabled="y" excluding="y" description="" foreColor="000000" backColor="ffffff" type="matches_text" case_sensitive="n" regex="n" text="[Microsoft-Windows-EapHost]" />
    <filter enabled="y" excluding="y" description="" foreColor="000000" backColor="ffffff" type="matches_text" case_sensitive="n" regex="n" text="[]***" />
    <filter enabled="y" excluding="y" description="" foreColor="000000" backColor="ffffff" type="matches_text" case_sensitive="n" regex="n" text="[Microsoft-Windows-Winsock-AFD]" />
    <filter enabled="y" excluding="y" description="" foreColor="000000" backColor="ffffff" type="matches_text" case_sensitive="n" regex="n" text="[Microsoft-Windows-WinHttp]" />
    <filter enabled="y" excluding="y" description="" foreColor="000000" backColor="ffffff" type="matches_text" case_sensitive="n" regex="n" text="[Microsoft-Windows-WebIO]" />
    <filter enabled="y" excluding="y" description="" foreColor="000000" backColor="ffffff" type="matches_text" case_sensitive="n" regex="n" text="[Microsoft-Windows-Winsock-NameResolution]" />
    <filter enabled="y" excluding="y" description="" foreColor="000000" backColor="ffffff" type="matches_text" case_sensitive="n" regex="n" text="[Microsoft-Windows-TCPIP]" />
    <filter enabled="y" excluding="y" description="" foreColor="000000" backColor="ffffff" type="matches_text" case_sensitive="n" regex="n" text="[Microsoft-Windows-DNS-Client]" />
    <filter enabled="y" excluding="y" description="" foreColor="000000" backColor="ffffff" type="matches_text" case_sensitive="n" regex="n" text="[Microsoft-Windows-NlaSvc]" />
    <filter enabled="y" excluding="y" description="" foreColor="000000" backColor="ffffff" type="matches_text" case_sensitive="n" regex="n" text="[Microsoft-Windows-Iphlpsvc-Trace]" />
    <filter enabled="y" excluding="y" description="" foreColor="000000" backColor="ffffff" type="matches_text" case_sensitive="n" regex="n" text="[Microsoft-Windows-DHCPv6-Client]" />
    <filter enabled="y" excluding="y" description="" foreColor="000000" backColor="ffffff" type="matches_text" case_sensitive="n" regex="n" text="[Microsoft-Windows-Dhcp-Client]" />
    <filter enabled="y" excluding="y" description="" foreColor="000000" backColor="ffffff" type="matches_text" case_sensitive="n" regex="n" text="[Microsoft-Windows-NCSI]" />
    <filter enabled="y" excluding="n" description="" backColor="90ee90" type="matches_text" case_sensitive="n" regex="n" text="AuthMgr Transition" />
    <filter enabled="y" excluding="n" description="" foreColor="0000ff" backColor="add8e6" type="matches_text" case_sensitive="n" regex="n" text="FSM transition" />
    <filter enabled="y" excluding="n" description="" foreColor="000000" backColor="dda0dd" type="matches_text" case_sensitive="n" regex="n" text="SecMgr transition" />
    <filter enabled="y" excluding="n" description="" foreColor="000000" backColor="f08080" type="matches_text" case_sensitive="n" regex="n" text="[Microsoft-Windows-NWiFi]" />
    <filter enabled="y" excluding="n" description="" foreColor="000000" backColor="ffb6c1" type="matches_text" case_sensitive="n" regex="n" text="[Microsoft-Windows-WiFiNetworkManager]" />
    <filter enabled="y" excluding="n" description="" foreColor="000000" backColor="dda0dd" type="matches_text" case_sensitive="n" regex="n" text="[Microsoft-Windows-WLAN-AutoConfig]" />
    <filter enabled="y" excluding="y" description="" foreColor="000000" backColor="ffffff" type="matches_text" case_sensitive="n" regex="n" text="[Microsoft-Windows-NetworkProfile]" />
    <filter enabled="y" excluding="y" description="" foreColor="000000" backColor="ffffff" type="matches_text" case_sensitive="n" regex="n" text="[Microsoft-Windows-WFP]" />
    <filter enabled="y" excluding="y" description="" foreColor="000000" backColor="ffffff" type="matches_text" case_sensitive="n" regex="n" text="[Microsoft-Windows-WinINet]" />
    <filter enabled="y" excluding="y" description="" foreColor="000000" backColor="ffffff" type="matches_text" case_sensitive="n" regex="n" text="[MSNT_SystemTrace]" />
    <filter enabled="y" excluding="y" description="" foreColor="000000" backColor="ffffff" type="matches_text" case_sensitive="n" regex="n" text="Security]Capability" />
  </filters>
</TextAnalysisTool.NET>

Przykład narzędzia TextAnalysisTool

W poniższym przykładzie ustawienia widoku są skonfigurowane do wyświetlania tylko filtrowanych linii.