Отслеживание действия WMI

  • Статья

Начиная с Windows Vista служба WMI не использует файлы журнала WMI. Вместо этого используется трассировка событий для Windows (ETW) и события доступны через Просмотр событий или средство командной строки Wevtutil.

В этом разделе рассматриваются следующие разделы:

Получение событий WMI через Просмотр событий

Файл WMITracing.log содержит события трассировки WMI. Однако это двоичный файл. Чтобы увидеть эти события в формате, доступном для чтения людьми, используйте Просмотр событий.

По умолчанию события WMI не трассируются. В этой процедуре описывается, как использовать Просмотр событий для включения трассировки событий WMI и поиска событий WMI. Эти же операции можно выполнять с помощью средства командной строки wevtutil.

Просмотр событий WMI в Просмотр событий

  1. Откройте Средство просмотра событий. В меню "Вид" щелкните "Показать аналитические и отладочные журналы". Поиск журнала канала трассировки для WMI в разделе "Приложения и журналы служб" | Корпорация Майкрософт | Windows | Действие WMI.
  2. Щелкните правой кнопкой мыши журнал трассировки и выберите "Свойства журнала". Щелкните поле "Включить ведение журнала" проверка, чтобы запустить трассировку событий WMI. Дополнительные сведения о каналах см. в разделе "Журналы событий" и "Каналы" в журнале событий Windows.
  3. События WMI отображаются в окне событий для WMI-Activity. Дважды щелкните событие в списке, чтобы просмотреть подробные сведения. Событие можно просмотреть в xml-представлении или в формате "Понятное представление ".

В поле "Идентификатор события" отображается значение, содержащее следующие сведения.

Событие 1

Начало последовательности событий для определенной операции. Одно вхождение для каждой последовательности.

Поля событий для события 1:

  • GroupOperationID — это уникальный идентификатор, используемый для всех событий, сообщающихся для конкретного клиента.
  • OperationId указывает последовательность операций.
  • Операция указывает подключение или запрос к WMI.
  • Пользователь указывает учетную запись, которая запрашивает WMI, выполнив скрипт или CIM Studio.
  • Пространство имен показывает пространство имен WMI, к которому выполняется подключение.

Например, скрипт может запрашивать все экземпляры класса WMI, например Win32_Service. Первая операция может быть подключением к WMI.

Событие 2

События, составляющие операцию. Одно или несколько вхождений в последовательности.

Поля событий для события 2:

  • GroupOperationID указывает последовательность, в которой происходит событие.
  • GroupOperationID указывает последовательность, в которой происходит событие.
  • ProviderName указывает имя поставщика, который предоставляет данные.
  • Путь — это путь WMI к объекту.

Например, операция может быть перечислением Win32_Service.

Событие 3

Конец последовательности событий для определенной операции. Одно вхождение для каждой последовательности.

Отображается только groupOperationID.

Включение трассировки WMI в командной строке

Вы также можете включить трассировку событий WMI с помощью средства командной строки Wevtutil. Используйте следующую команду: Wevtutil.exe sl Microsoft-Windows-WMI-Activity/Trace /e:true. Источник событий WMI — Microsoft-Windows-WMI. Дополнительные сведения о Wevtutil.exe см. в разделе "Журнал событий Windows".

Использование трассировки WMI на основе WPP

В операционных системах Windows, начиная с Windows Vista, WMI создает активный канал трассировки во время загрузки. Имя канала — WMI_Trace_Session. В канал регистрируются только ошибки.

Препроцессор трассировки программного обеспечения Windows (WPP) записывает сведения в двоичном файле. Чтобы прочитать файл, необходимо сначала перевести его в доступный для чтения текстовый формат. Для перевода используется средство с именем tracefmt.exe из комплекта драйверов Windows (WDK ). Для этого средства требуются сведения, хранящиеся в некоторых связанных файлах. Файлы находятся в каталоге %SystemRoot%\System32\wbem\tmf и имеют расширение tmf-файла. Для этого средства требуется один файл .tmf. Вы делаете этот один файл, объединяя все файлы tmf в другой tmf-файл. Дополнительные сведения о файлах .tmf см. в разделе "Формат сообщения трассировки".

После установки комплекта драйверов Windows (WDK) для получения средств командной строки tracelog.exe и tracefmt.exe выполните следующие действия для сбора трассировки WMI на основе WPP.

Просмотр трассировки WMI на основе WPP

  1. Чтобы создать один файл .tmf, откройте окно командной строки с повышенными привилегиями и перейдите к каталогу %SystemRoot%\System32\wbem\tmf.

  2. Тип копирования /y %SystemRoot%\System32\wbem\tmf\*.tmf %SystemRoot%\System32\wbem\tmf\wmi.tmf. При этом будет создан файл с именем wmi.tmf, содержащий содержимое всех других файлов TMF.

  3. Тип tracelog -flush WMI_Trace_Session. Это приведет к очистке буферов WPP на диске.

  4. Набор типов TRACE_FORMAT_PREFIX = [%9!d!] %8!04X!. %3!04X!. %3!04X!::%4!s! [%1!s!] (%! COMPNAME!:%! FUNC !:%2!s!). Средство tracefmt добавляет некоторые сведения по умолчанию в каждое сообщение трассировки. Вы можете настроить сведения, включенные, задав переменную среды TRACE_FORMAT_PREFIX. Дополнительные сведения об используемом синтаксисе см. в разделе Префикс сообщения трассировки.

  5. Введите tracefmt -tmf %systemroot%\system32\wbem\tmf\wmi.tmf -o OUTPUT.TXT %systemroot%\system32\wbem\logs\WMITracing.log. Это выполняет перевод из двоичного формата в доступный для чтения текстовый формат.

  6. Введите блокнот %systemroot%\system32\wbem\tmf\OUTPUT.TXT. Откроется файл трассировки в Блокнот.

Ниже приведены некоторые другие задачи, связанные с WPP, которые могут потребоваться выполнить.

Остановка трассировки WMI на основе WPP

  • Тип tracelog -stop WMI_Trace_Session.

Запуск трассировки WMI на основе WPP

  • Тип tracelog -start WMI_Trace_Session -guid #1FF6B227-2CA7-40f9-9A66-980EADAA602E -rt -level 5 -flag 0x7 -f MYTRACE. БЕН

Windows Vista: по умолчанию трассировка WMI на основе WPP имеет уровень 2, который включает только сообщения об ошибках. Чтобы включить информационные сообщения, задайте уровень 4. Все области WMI трассируются по умолчанию. Существует три отдельных области, которые можно отслеживать: Core (flag=0x1), ESS (flag=0x2) и Prov (flag=0x4). В приведенной выше команде запуска флаг 0x7 приводит к трассировке всех трех областей.

Windows 7. По умолчанию трассировка WMI на основе WPP отключена и установлена на уровне 0. Чтобы использовать трассировку WMI на основе WPP, эта функция должна быть включена и задана на уровне 2 для сообщений об ошибках или уровня 4 для сообщений об ошибках и информационных сообщениях.

Перечисление всех сеансов трассировки WPP

  • Тип tracelog -l.

Перечисление сведений о сеансе трассировки WMI WPP

  • Тип tracelog -l | findstr /i "wmi_trace".

Просмотр параметров сеанса трассировки WMI WPP

  • Тип tracelog -q WMI_Trace_Session.

Устранение неполадок WMI.

Файлы журнала WMI