Sdílet prostřednictvím

Sledování aktivity WMI

  • Článek

Počínaje systémem Windows Vista služba WMI nepoužívá soubory protokolu WMI. Místo toho používá trasování událostí pro Windows (ETW) a události jsou k dispozici prostřednictvím prohlížeče událostí nebo nástroje příkazového řádku Wevtutil.

V tomto tématu jsou popsány následující části:

Získávání událostí rozhraní WMI prostřednictvím Prohlížeče událostí

Soubor WMITracing.log obsahuje události, které WMI trasuje. Jedná se ale o binární soubor. Pokud chcete tyto události zobrazit ve formátu čitelném lidmi, použijte prohlížeč událostí.

Ve výchozím nastavení nejsou události rozhraní WMI trasovány. Tento postup popisuje, jak používat Prohlížeč událostí k povolení trasování událostí rozhraní WMI a vyhledání událostí rozhraní WMI. Stejné operace můžete provádět pomocí nástroje příkazového řádku wevtutil.

Zobrazení událostí rozhraní WMI v prohlížeči událostí

  1. Otevřete prohlížeč událostí . V nabídce Zobrazit klikněte na Zobrazit protokoly analytiky a ladění. Vyhledejte protokol trasování kanálu pro rozhraní WMI v části Protokoly aplikací a služeb | Microsoft | Windows | Aktivita rozhraní WMI.
  2. Klikněte pravým tlačítkem na protokol trasování a vyberte vlastnosti protokolu. Kliknutím na zaškrtávací políčko Povolit protokolování zahájíte trasování událostí pomocí rozhraní WMI. Další informace o kanálech naleznete v tématu protokoly událostí a kanály v protokolu událostí systému Windows.
  3. Události rozhraní WMI se zobrazí v okně události pro WMI-Aktivity. Poklikáním na událost v seznamu zobrazíte podrobné informace. Událost můžete zobrazit v zobrazení XML nebo ve formátu přehledného zobrazení.

Pole ID události zobrazí hodnotu, která obsahuje následující informace.

Událost 1

Začátek sekvence událostí pro konkrétní operaci. Jeden výskyt pro každou sekvenci

Pole události pro událost 1 jsou:

  • GroupOperationID je jedinečný identifikátor, který se používá pro všechny události hlášené pro konkrétního klienta.
  • OperationId označuje posloupnost operací.
  • Operace určuje připojení nebo požadavek na rozhraní WMI.
  • user označuje účet, který odešle žádost do rozhraní WMI spuštěním skriptu nebo prostřednictvím CIM Studia.
  • Obor názvů zobrazuje WMI obor názvů, ke kterému je připojení vytvořeno.

Například skript může požadovat všechny instance třídy WMI, například Win32_Service. První operací může být připojení k rozhraní WMI.

událost 2

Události, které tvoří celou operaci. Jeden nebo více výskytů v sekvenci

Pole události pro událost 2 jsou:

  • GroupOperationID označuje posloupnost, ve které k události dochází.
  • GroupOperationID označuje posloupnost, ve které k události dochází.
  • ProviderName označuje název poskytovatele, který poskytuje data.
  • Cesta je cesta WMI k objektu.

Například operace může být výčtem Win32_Service.

Událost 3

Konec sekvence událostí pro konkrétní operaci. Jeden výskyt pro každou sekvenci

Zobrazí se jenom GroupOperationID.

Povolení trasování rozhraní WMI na příkazovém řádku

Trasování událostí rozhraní WMI můžete také povolit pomocí nástroje příkazového řádku Wevtutil. Použijte následující příkaz: Wevtutil.exe sl Microsoft-Windows-WMI-Activity/Trace /e:true. Zdrojem událostí rozhraní WMI je Microsoft-Windows-WMI. Další informace o Wevtutil.exenaleznete v tématu O protokolu událostí systému Windows.

Použití trasování rozhraní WMI založeného na WPP

V operačních systémech Windows počínaje systémem Windows Vista vytvoří rozhraní WMI aktivní trasovací kanál během procesu spouštění. Název kanálu je WMI_Trace_Session. Do kanálu jsou zaznamenávány pouze chyby.

Preprocesor trasování softwaru systému Windows zaznamenává informace v binárním souboru. Pokud chcete soubor přečíst, musíte ho nejdřív přeložit do čitelného textového formátu. K překladu použijete nástroj s názvem tracefmt.exe ze sady Windows Driver Kit (WDK). Nástroj vyžaduje informace uložené v některých přidružených souborech. Soubory jsou umístěny v adresáři %SystemRoot%\System32\wbem\tmf a mají příponu názvu souboru .tmf. Nástroj ve skutečnosti vyžaduje jeden soubor .tmf . Z jednoho souboru vytvoříte zřetězením všech stávajících souborů .tmf do jiného jediného souboru .tmf. Další informace o souborech .tmf viz Soubor trasovacího formátu zprávy.

Po instalaci sady Windows Driver Kit (WDK) pro získání nástrojů příkazového řádku tracelog.exe a tracefmt.exe postupujte podle následujících kroků a shromážděte trasování rozhraní WMI založené na WPP.

Zobrazení trasování WMI založeného na WPP

  1. Pokud chcete vytvořit jeden soubor .tmf, otevřete okno příkazového řádku se zvýšenými oprávněními a přejděte do adresáře %SystemRoot%\System32\wbem\tmf.

  2. Zadejte copy /y %SystemRoot%\System32\wbem\tmf\*.tmf %SystemRoot%\System32\wbem\tmf\wmi.tmf. Tím se vytvoří soubor s názvem wmi.tmf, který obsahuje obsah všech ostatních souborů .tmf.

  3. Typ trasovací záznam -flush WMI_Trace_Session. Tím se vyprázdní vyrovnávací paměti WPP na disku.

  4. Typ nastavit TRACE_FORMAT_PREFIX = [%9!d!]%8!04X!.%3!04X!.%3!04X!::%4!s![%1!s!](%!COMPNAME!:%!FUNC !:%2!s!). Nástroj tracefmt přidá do každé zprávy trasování některé výchozí informace. Informace, které jsou součástí, můžete nakonfigurovat nastavením proměnné prostředí TRACE_FORMAT_PREFIX. Chcete-li se dozvědět o použité syntaxi, podívejte se na Předpona zprávy trasování.

  5. Zadejte tracefmt -tmf %systemroot%\system32\wbem\tmf\wmi.tmf -o OUTPUT.TXT %systemroot%\system32\wbem\logs\WMITracing.log. Tím se provede překlad z binárního formátu do čitelného textového formátu.

  6. Napište poznámkový blok %systemroot%\system32\wbem\tmf\OUTPUT.TXT. Tím otevřete trasovací soubor v Poznámkovém bloku.

Tady jsou některé další úlohy související s WPP, které možná budete muset provést.

Zastavit trasování WMI založené na WPP

  • Typ trasovací protokol -stop WMI_Trace_Session.

Spuštění trasování WPP založeného na WMI

  • Typ tracelog -start WMI_Trace_Session -guid #1FF6B227-2CA7-40f9-9A66-980EADAA602E -rt -level 5 -flag 0x7 -f MYTRACE. BIN

Windows Vista: Ve výchozím nastavení je trasování rozhraní WMI založené na WPP nastaveno na úroveň 2, která obsahuje pouze chybové zprávy. Pokud chcete zahrnout i informační zprávy, nastavte úroveň na 4. Ve výchozím nastavení jsou trasovány všechny oblasti rozhraní WMI. Existují tři různé oblasti, které lze sledovat: Core (flag=0x1), ESS (flag=0x2) a Prov (flag=0x4). Ve výše uvedeném startovacím příkazu příznak 0x7 způsobí trasování všech tří oblastí.

Windows 7: Ve výchozím nastavení je trasování rozhraní WMI založené na WPP zakázáno a nastaveno na úroveň 0. Chcete-li použít trasování rozhraní WMI založené na WPP, musí být tato funkce povolena a nastavena na úroveň 2 pro chybové zprávy nebo úroveň 4 pro chybové i informační zprávy.

Zobrazení seznamu všech relací trasování WPP

  • Typ tracelog -l.

Seznam informací o relaci trasování WMI WPP

  • Typ trasovací protokol -l | findstr /i "wmi_trace".

Zobrazení parametrů relace trasování WPP rozhraní WMI

  • Typ trasovací záznam -q WMI_Trace_Session.

Odstraňování potíží s WMI

soubory protokolu WMI