Трассировка использует трассировку событий для Windows (ETW). Чтобы воспользоваться преимуществами средств трассировки, доступных в Windows Server 2008 R2, установите microsoft Windows SDK.
Поддерживается три уровня трассировки:
Подробные (все доступные трассировки).
Сведения (информационные трассировки).
Ошибка (трассировки ошибок).
Следующие события трассируются:
Все ошибки (Level=Error, Level=Info или Level=Verbose).
Вход и выход API (Level=Info или Level=Verbose).
Запуск и завершение любого ввода-вывода (Level=Info или Level=Verbose)
Обмен сообщениями SOAP (Level=Verbose, доступный в Windows 2003 с пакетом обновления 1 (SP1) и более поздних версий)
Создание и просмотр трассировок WWSAPI
WWSAPI использует события на основе манифеста в Windows Vista и выше. В результате интерфейс трассировки имеет некоторые различия в зависимости от версии операционной системы. Создание трассировок ETW можно сделать с помощью встроенных средств ETW на всех поддерживаемых платформах. Однако для просмотра трассировок ETW в хорошем формате требуются пользовательские средства в Windows XP с пакетом обновления 2 (SP2) и Windows 2003 с пакетом обновления 1 (SP1). Существует несколько различных способов сбора и просмотра трассировок событий WWSAPI ETW в зависимости от версии операционной системы.
Включение и просмотр трассировок WWSAPI в Просмотр событий (работает в Windows Vista и выше)
Запустите eventvwr.msc из командной строки или меню выполнения.
Щелкните ссылку представления на панели "Действия" справа и включите параметр "Показать журналы аналитики и отладки".
Перейдите к журналам приложений и служб\Поставщики Microsoft\Windows\WebServices на левой панели.
Щелкните правой кнопкой мыши поставщик трассировки и выберите "Включить журнал".
Запустите сценарий.
При обновлении страницы просмотра событий необходимо начать просмотр записей трассировки WWSAPI.
Включение и просмотр трассировок WWSAPI с помощью скрипта Wstrace.bat (работает с XPSP2 и выше)
Обновление уровня трассировки (info/error/verbose)
Преобразование журналов трассировки в CSV-файлы
Пакетный файл использует logman.exe для всех команд, за исключением преобразования журналов в CSV-файл, для которого требуется пользовательское средство (wstracedump.exe).
Использование команд трассировки
Следующая команда создает журнал, использующий сведения, ошибку или подробный уровень. Для этой команды требуются повышенные привилегии.
wstrace.bat создать [сведения | ошибка | подробные сведения]
Следующая команда удаляет журнал. Для этой команды требуются повышенные привилегии.
удаление wstrace.bat
Следующая команда включает трассировку. Сначала необходимо создать журнал.
wstrace.bat
Уровень трассировки (сведения, ошибка или подробный) можно изменить следующим образом:
создание и запуск сеанса трассировки ETW. Logman.exe — это встроенное средство ETW, доступное на всех поддерживаемых платформах. Обратите внимание, что необходимо использовать Microsoft_Windows_WebServices в качестве имени поставщика в XPSP2 и W2K3. Вы можете запустить поставщики запросов logman, чтобы просмотреть список зарегистрированных поставщиков. Поставщик microsoft-Windows-WebServices (или Microsoft_Windows_WebServices) должен быть указан, если он не зарегистрирован. Поставщик обычно регистрируется во время установки. Однако его также можно зарегистрировать вручную, запустив wevtutil.exe im <ManifestFileName (в Windows Vista и более поздних версиях) или mofcomp.exe <MofFileName>> (в XPSP2 и W2K3).
Флаги можно использовать для фильтрации трассировок по их типу. Это может быть ИЛИ значение следующих типов трассировки. Если он не указан, все типы трассировки включены.
0x1 — трассировки входа и выхода API.
0x2 — трассировки ошибок.
0x4 — трассировки ввода-вывода.
0x8 — трассировки сообщений SOAP.
0x10 — трассировки двоичных сообщений.
Уровень можно использовать для фильтрации трассировок по их уровню. Это должно быть одно из следующих значений. Если он не указан, все уровни трассировки включены.
0x1 — смертельные трассировки.
0x2 — трассировки ошибок.
0x3 — трассировки предупреждений.
0x4 — информационные трассировки.
0x5 — подробные трассировки.
EtlLogFileName — это путь к созданному файлу журнала событий ETW (используйте расширение ETL). Если оно не указано, ETW выберет случайное имя, которое может быть запрошено позже. Этот файл не должен находиться в каталоге профилей пользователя. Файл журнала событий ETW (ETL-файл) находится в двоичном формате. Его можно использовать приложениями ETW, но он не имеет читаемого формата. Следующий шаг описывает, как просмотреть его содержимое.
Запуск сценария
Сбор файла журнала событий ETW.
logman stop wstrace -ets
для остановки сеанса трассировки ETW. Это происходит, когда ETW останавливает ведение журнала событий. Файл журнала событий ETW (указанный в параметре EtlLogFileName) готов к использованию. Его можно просмотреть локально (инструкции приведены ниже) или отправить в группу продуктов для расследования.
эхо.. используйте mytrace.xml и wstrace.xsl на открытой странице ..
Просмотр трассировок трассировки трассировки трассировки WWSAPI с помощью средства wstracedump.exe (работает в Windows XP и выше)
Wstracedump.exe — это пользовательское средство потребителя ETW, которое обрабатывает события в файле трассировки WWSAPI ETW и создает доступные для чтения данные. Он может производить выходные данные со всех поддерживаемых платформ. Дополнительные сведения см. в разделе об использовании (wstracedump.exe -?).
Просмотр трассировок трассировки трассировки файлов трассировки WWSAPI с помощью средств ETW (работает в Windows Vista и более поздних версиях)
Tracerpt.exe — это средство для просмотра содержимого файла журнала событий ETW и доступного на всех поддерживаемых платформах. Его можно использовать для создания CSV-файлов, EVTX или XML-дампа из файла журнала событий ETW. Однако созданный выходной файл содержит удобочитаемые трассировки только в Windows Vista и более поздних версиях. В этих инструкциях описывается, как создать XML-файл дампа и использовать его вместе с xsl-файлом для отображения трассировок в удобном формате (xsl-файл очень прост и может быть изменен, если нужны различные форматы).
Выполнить
tracerpt <EtlLogFileName> -o <OutputXMLFileName>
для создания XML-дампа из двоичного ETL-файла (tracerpt.exe по умолчанию создает выходной файл в формате XML. Запустите tracerpt -? Чтобы просмотреть другие доступные форматы.
На этом этапе можно просмотреть сведения о трассировке в XML-файле. Кроме того, вы можете открыть файл wstrace.htm и использовать xml-файл дампа и файл wstrace.xsl, чтобы просмотреть трассировки в более удобном формате. Обратите внимание, что файлы должны находиться на локальном компьютере, чтобы использовать этот html-файл в IE.
Безопасность
При включении трассировки администраторы должны учитывать, что он потребляет дополнительное дисковое пространство и вычислительные мощности. Вредоносный клиент или приложение может исчерпать системные ресурсы, если параметры трассировки не настроены с разумными ограничениями. При использовании функции трассировки сообщений сообщения с конфиденциальными данными, такими как учетные данные, личная информация и т. д., могут сохраняться на диске или просматриваться всеми пользователями, имеющими доступ к средству просмотра системных событий. В качестве устранения этой проблемы трассировка может быть включена пользователями системы или администратора в Windows 2003 и более поздних версиях. Трассировка сообщений отключена в Windows XP, в которой любой пользователь может включить трассировку.
Для трассировки используется следующее перечисление:
Сведения о том, как выполнять аудит и диагностику для среды Windows Server на предмет соответствия нормативным требованиям, активности пользователей и устранения неполадок. Внедряйте передовые методы обеспечения безопасности с помощью регулярного аудита сетевой среды, чтобы получать своевременные предупреждения о потенциально вредоносных действиях.