Трассировка
Трассировка использует трассировку событий для Windows (ETW). Чтобы воспользоваться преимуществами средств трассировки, доступных в Windows Server 2008 R2, установите microsoft Windows SDK.
Поддерживается три уровня трассировки:
- Подробные (все доступные трассировки).
- Сведения (информационные трассировки).
- Ошибка (трассировки ошибок).
Следующие события трассируются:
- Все ошибки (Level=Error, Level=Info или Level=Verbose).
- Вход и выход API (Level=Info или Level=Verbose).
- Запуск и завершение любого ввода-вывода (Level=Info или Level=Verbose)
- Обмен сообщениями SOAP (Level=Verbose, доступный в Windows 2003 с пакетом обновления 1 (SP1) и более поздних версий)
WWSAPI использует события на основе манифеста в Windows Vista и выше. В результате интерфейс трассировки имеет некоторые различия в зависимости от версии операционной системы. Создание трассировок ETW можно сделать с помощью встроенных средств ETW на всех поддерживаемых платформах. Однако для просмотра трассировок ETW в хорошем формате требуются пользовательские средства в Windows XP с пакетом обновления 2 (SP2) и Windows 2003 с пакетом обновления 1 (SP1). Существует несколько различных способов сбора и просмотра трассировок событий WWSAPI ETW в зависимости от версии операционной системы.
- Запустите eventvwr.msc из командной строки или меню выполнения.
- Щелкните ссылку представления на панели "Действия" справа и включите параметр "Показать журналы аналитики и отладки".
- Перейдите к журналам приложений и служб\Поставщики Microsoft\Windows\WebServices на левой панели.
- Щелкните правой кнопкой мыши поставщик трассировки и выберите "Включить журнал".
- Запустите сценарий.
- При обновлении страницы просмотра событий необходимо начать просмотр записей трассировки WWSAPI.
Пакетный файл wstrace.bat предоставляет удобный способ:
- Создание журнала трассировки
- Удаление журнала трассировки
- Включение и отключение трассировки
- Обновление уровня трассировки (info/error/verbose)
- Преобразование журналов трассировки в CSV-файлы
Пакетный файл использует logman.exe для всех команд, за исключением преобразования журналов в CSV-файл, для которого требуется пользовательское средство (wstracedump.exe).
Следующая команда создает журнал, использующий сведения, ошибку или подробный уровень. Для этой команды требуются повышенные привилегии.
wstrace.bat создать [сведения | ошибка | подробные сведения]
Следующая команда удаляет журнал. Для этой команды требуются повышенные привилегии.
удаление wstrace.bat
Следующая команда включает трассировку. Сначала необходимо создать журнал.
wstrace.bat
Уровень трассировки (сведения, ошибка или подробный) можно изменить следующим образом:
wstrace.bat обновление [информация | ошибка | подробные сведения]
Чтобы дампать выходные данные трассировки, используйте следующую команду:
wstrace.bat дампа > temp.csv
События будут дампаться в CSV-файл до нажатия клавиш CTRL-C или отключается трассировка.
CSV-файлы, созданные wstrace.bat, являются простыми текстовыми файлами, разделенными запятыми. Эти файлы могут быть открыты в Excel, Блокноте и т. д.
Столбцы файла приведены следующим образом:
- TimeStamp — метка времени записи события
- ProcessID — идентификатор ULONG процесса записи события
- ThreadID — идентификатор ULONG потока записи события
- Событие — перечисленное значение типа события может быть ("api ввод" | "API-ожидание" | "api ExitSyncSuccess" | "api ExitSyncFailure" | "api ExitAsyncSuccess" | "api ExitAsyncFailure" | "io started" | "Io completed" | "Io failed" | "error" | "Начало полученного сообщения" | "полученное сообщение" | "полученная остановка сообщения" | Начало отправки сообщения | "отправка сообщения" | "остановка отправки сообщения")
- Операция — имя вызываемой операции. Обычно это сопоставляется с вызываемой API.
- Ошибка — необязательный номер ошибки HRESULT
- Сведения — необязательные сведения о событии
Включение трассировки ETW для WWSAPI
logman start wstrace -bs 64 -ft 1 -rt -p Microsoft-Windows-WebServices [flags [level]] [-o <EtlLogFileName>] -ets
создание и запуск сеанса трассировки ETW. Logman.exe — это встроенное средство ETW, доступное на всех поддерживаемых платформах. Обратите внимание, что необходимо использовать Microsoft_Windows_WebServices в качестве имени поставщика в XPSP2 и W2K3. Вы можете запустить поставщики запросов logman, чтобы просмотреть список зарегистрированных поставщиков. Поставщик microsoft-Windows-WebServices (или Microsoft_Windows_WebServices) должен быть указан, если он не зарегистрирован. Поставщик обычно регистрируется во время установки. Однако его также можно зарегистрировать вручную, запустив wevtutil.exe im <ManifestFileName (в Windows Vista и более поздних версиях) или mofcomp.exe <MofFileName>> (в XPSP2 и W2K3).
Флаги можно использовать для фильтрации трассировок по их типу. Это может быть ИЛИ значение следующих типов трассировки. Если он не указан, все типы трассировки включены.
- 0x1 — трассировки входа и выхода API.
- 0x2 — трассировки ошибок.
- 0x4 — трассировки ввода-вывода.
- 0x8 — трассировки сообщений SOAP.
- 0x10 — трассировки двоичных сообщений.
Уровень можно использовать для фильтрации трассировок по их уровню. Это должно быть одно из следующих значений. Если он не указан, все уровни трассировки включены.
- 0x1 — смертельные трассировки.
- 0x2 — трассировки ошибок.
- 0x3 — трассировки предупреждений.
- 0x4 — информационные трассировки.
- 0x5 — подробные трассировки.
EtlLogFileName — это путь к созданному файлу журнала событий ETW (используйте расширение ETL). Если оно не указано, ETW выберет случайное имя, которое может быть запрошено позже. Этот файл не должен находиться в каталоге профилей пользователя. Файл журнала событий ETW (ETL-файл) находится в двоичном формате. Его можно использовать приложениями ETW, но он не имеет читаемого формата. Следующий шаг описывает, как просмотреть его содержимое.
Запуск сценария
Сбор файла журнала событий ETW.
logman stop wstrace -ets
для остановки сеанса трассировки ETW. Это происходит, когда ETW останавливает ведение журнала событий. Файл журнала событий ETW (указанный в параметре EtlLogFileName) готов к использованию. Его можно просмотреть локально (инструкции приведены ниже) или отправить в группу продуктов для расследования.
Полный пример использования средств ETW:
logman start wstrace -bs 64 -ft 1 -rt -p Microsoft-Windows-WebServices -o mytrace.etl -ets
эхо.. запустите сценарий..
logman stop wstrace -ets
tracerpt mytrace.etl -o mytrace.xml
wstrace.htm
эхо.. используйте mytrace.xml и wstrace.xsl на открытой странице ..
Просмотр трассировок трассировки трассировки трассировки WWSAPI с помощью средства wstracedump.exe (работает в Windows XP и выше)
Wstracedump.exe — это пользовательское средство потребителя ETW, которое обрабатывает события в файле трассировки WWSAPI ETW и создает доступные для чтения данные. Он может производить выходные данные со всех поддерживаемых платформ. Дополнительные сведения см. в разделе об использовании (wstracedump.exe -?).
Просмотр трассировок трассировки трассировки файлов трассировки WWSAPI с помощью средств ETW (работает в Windows Vista и более поздних версиях)
Tracerpt.exe — это средство для просмотра содержимого файла журнала событий ETW и доступного на всех поддерживаемых платформах. Его можно использовать для создания CSV-файлов, EVTX или XML-дампа из файла журнала событий ETW. Однако созданный выходной файл содержит удобочитаемые трассировки только в Windows Vista и более поздних версиях. В этих инструкциях описывается, как создать XML-файл дампа и использовать его вместе с xsl-файлом для отображения трассировок в удобном формате (xsl-файл очень прост и может быть изменен, если нужны различные форматы).
Выполнить
tracerpt <EtlLogFileName> -o <OutputXMLFileName>
для создания XML-дампа из двоичного ETL-файла (tracerpt.exe по умолчанию создает выходной файл в формате XML. Запустите tracerpt -? Чтобы просмотреть другие доступные форматы.
На этом этапе можно просмотреть сведения о трассировке в XML-файле. Кроме того, вы можете открыть файл wstrace.htm и использовать xml-файл дампа и файл wstrace.xsl, чтобы просмотреть трассировки в более удобном формате. Обратите внимание, что файлы должны находиться на локальном компьютере, чтобы использовать этот html-файл в IE.
При включении трассировки администраторы должны учитывать, что он потребляет дополнительное дисковое пространство и вычислительные мощности. Вредоносный клиент или приложение может исчерпать системные ресурсы, если параметры трассировки не настроены с разумными ограничениями. При использовании функции трассировки сообщений сообщения с конфиденциальными данными, такими как учетные данные, личная информация и т. д., могут сохраняться на диске или просматриваться всеми пользователями, имеющими доступ к средству просмотра системных событий. В качестве устранения этой проблемы трассировка может быть включена пользователями системы или администратора в Windows 2003 и более поздних версиях. Трассировка сообщений отключена в Windows XP, в которой любой пользователь может включить трассировку.
Для трассировки используется следующее перечисление: