Sdílet prostřednictvím

Trasování

  • Článek

Trasování používá systém Event Tracing for Windows (ETW). Pokud chcete využít nástroje pro trasování dostupné v systému Windows Server 2008 R2, nainstalujte sadu Microsoft Windows SDK.

Podporují se tři úrovně trasování:

  • Podrobný výpis (všechny dostupné stopy).
  • Informace (informační záznamy).
  • Chyba (trasování chyb)

Sledují se následující události:

  • Všechny chyby (Level=Error, Level=Info nebo Level=Verbose).
  • Vstup nebo konec rozhraní API (Level=Info nebo Level=Verbose).
  • Zahájení a dokončení vstupně-výstupních operací (Level=Info nebo Level=Verbose)
  • Vyměněné SOAP zprávy (Úroveň=Podrobné, dostupné na Windows 2003 SP1 a novější)

Generování a zobrazení trasování WWSAPI

WWSAPI používá události založené na manifestu v systému Windows Vista a vyšší. V důsledku toho má prostředí trasování určité rozdíly na základě verze operačního systému. Generování ETW tras je možné provádět pomocí integrovaných ETW nástrojů na všech podporovaných platformách. Zobrazení trasování událostí pro Windows (ETW) v dobře formátované podobě vyžaduje vlastní nástroje v systémech Windows XP SP2 a Windows 2003 SP1. Existuje několik různých způsobů shromažďování a zobrazení trasování událostí WWSAPI pro Windows v závislosti na verzi operačního systému.

Povolení a zobrazení trasování WWSAPI v Prohlížeči událostí (funguje ve Windows Vista a novějších)

  • Spusťte eventvwr.msc z příkazového řádku nebo z nabídky Spustit.
  • Klikněte na odkaz zobrazení v podokně Akce vpravo a povolte možnost Zobrazit protokoly analýzy a ladění.
  • V levém panelu přejděte na Protokoly aplikací a služeb\Microsoft\Windows\WebServices.
  • Klikněte pravým tlačítkem na zprostředkovatele sledování a vyberte možnost Povolit protokolování.
  • Spusťte svůj scénář.
  • Když obnovíte stránku prohlížeče událostí, měli byste začít vidět položky trasování WWSAPI.

Povolení a zobrazení trasování WWSAPI pomocí skriptu Wstrace.bat (funguje na XPSP2 a novějších)

Dávkový soubor wstrace.bat nabízí pohodlný způsob, jak:

  • Vytvořte protokol trasování
  • Odstranění protokolu trasování
  • Povolení a zakázání trasování
  • Aktualizace úrovně trasování (informace/chyba/podrobné)
  • Převod protokolů trasování na soubory CSV

Dávkový soubor používá logman.exe pro všechny příkazy, s výjimkou převodu protokolů na soubor CSV, který vyžaduje vlastní nástroj (wstracedump.exe).

Použití příkazů trasování

Následující příkaz vytvoří protokol, který používá informace, chybu nebo podrobnou úroveň. Tento příkaz vyžaduje zvýšená oprávnění.

wstrace.bat vytvořit [informace | chyba | podrobné]

Následující příkaz odstraní protokol. Tento příkaz vyžaduje zvýšená oprávnění.

wstrace.bat odstranit

Následující příkaz povolí trasování. Nejprve musíte vytvořit protokol.

wstrace.bat na

Úroveň trasování (info, chyba nebo verbózní) může být upravena následujícím způsobem:

wstrace.bat aktualizovat [informace | chyba | podrobné]

K vypsání výstupu trasování použijte následující příkaz:

wstrace.bat > temp.csv výpis

Události budou do souboru CSV vypisovány, dokud se nestiskne Ctrl-C nebo dokud nebude trasování deaktivováno.

Formát souboru trasování

Soubory CSV vytvořené wstrace.bat jsou jednoduché textové soubory oddělené čárkami. Tyto soubory mohou být otevřeny v Excelu, Poznámkovém bloku atd.

Sloupce souboru jsou následující:

  • Časové razítko – časové razítko, kdy byla událost zaznamenána
  • ProcessID – ULONG ID procesu, který zaznamenává událost
  • ThreadID – ULONG ID vlákna zaznamenávající událost
  • Událost – Výčtová hodnota typu události může být ("api enter" | "Rozhraní API čeká na vyřízení" | "api ExitSyncSuccess" | "api ExitSyncFailure" | "api ExitAsyncSuccess" | "api ExitAsyncFailure" | "io started" | "io completed" | Vstupně-výstupní operace selhala | Chyba | "Received message start" | "přijatá zpráva" | "received message stop" | "odesílání zprávy start" | "odesílání zprávy" | "odesílání zastavení zprávy")
  • Operace – název vyvoláné operace. Obvykle to odpovídá volání na aplikační programové rozhraní (API).
  • Chyba – Volitelné číslo chyby HRESULT
  • Informace – Volitelné informace o události

Shromažďování trasovacích souborů ETW WWSAPI pomocí nástrojů ETW (funguje na XPSP2 a novějších)

Povolení sledování událostí pro Windows pro WWSAPI

logman start wstrace -bs 64 -ft 1 -rt -p Microsoft–Windows-WebServices [flags [level]] [-o <EtlLogFileName>] -ets

pro vytvoření a spuštění relace trasování událostí pro Windows. Logman.exe je nástroj ETW, který je k dispozici na všech podporovaných platformách. Všimněte si, že musíte použít Microsoft_Windows_WebServices jako název zprostředkovatele ve formátu XPSP2 a W2K3. Pokud chcete zobrazit seznam registrovaných poskytovatelů, můžete spustit zprostředkovatele dotazů logman. Pokud není zaregistrovaný, měl by být uveden poskytovatel microsoft-Windows-WebServices (nebo Microsoft_Windows_WebServices). Zprostředkovatel je během instalace obvykle zaregistrovaný. Můžete ho ale také ručně zaregistrovat spuštěním příkazu wevtutil.exe im <ManifestFileName> (ve Windows Vista a novějším) nebo mofcomp.exe <MofFileName> (v systému XPSP2 a W2K3).

Příznaky lze použít k filtrování stop podle jejich typu. Může to být hodnota vznikající logickou operací OR aplikovanou na následující typy sledování. Pokud není zadáno, jsou povoleny všechny druhy trasování.

  • 0x1 – trasování vstupu a výstupu rozhraní API
  • 0x2 – trasování chyb
  • 0x4 – snímání vstupně-výstupních operací
  • 0x8 – trasování zpráv SOAP
  • 0x10 – trasování binárních zpráv

Úroveň lze použít k filtrování záznamů podle jejich úrovně. Měla by to být jedna z následujících hodnot. Pokud není zadáno, jsou povoleny všechny úrovně trasování.

  • 0x1 - Závažné trasování.
  • 0x2 – stopa chyb
  • 0x3 – stopa upozornění
  • 0x4 – informační trasování.
  • 0x5 – podrobné trasování.

EtlLogFileName je cesta k souboru protokolu událostí ETW, který se má vytvořit (použijte příponu .etl). Pokud není k dispozici, etW vybere náhodný název, na který se můžete později dotazovat. Tento soubor by se neměl nacházet v adresáři profilu uživatele. Soubor protokolu událostí ETW (soubor .etl) je v binárním formátu. Aplikace ETW ho mohou využívat, ale není v čitelném formátu pro lidi. Další krok popisuje, jak zobrazit jeho obsah.

Spusťte svůj scénář

Shromažďování souboru protokolu událostí ETW

zastavte wstrace -ets

pro zastavení relace trasování událostí pro Windows. V tomto okamžiku ETW přestane protokolovat události. Soubor záznamu událostí ETW (zadaný v parametru EtlLogFileName) je připraven k použití. Můžete ho zobrazit místně (pokyny jsou uvedeny níže) nebo odeslat produktové skupině k šetření.

Kompletní příklad od začátku do konce s využitím nástrojů ETW pro Windows:

logman spustit wstrace -bs 64 -ft 1 -rt -p Microsoft-Windows-WebServices -o mytrace.etl -ets

echo.. spusťte svůj scénář..

logman zastavte wstrace -ets

tracerpt mytrace.etl -o mytrace.xml

wstrace.htm

echo.. na otevřené stránce použijte mytrace.xml a wstrace.xsl.

Zobrazení trasovacích souborů ETW WWSAPI pomocí nástroje wstracedump.exe (funguje ve Windows XP a vyšších)

Wstracedump.exe je vlastnoručně vyvinutý nástroj pro zpracování událostí v trasovacím souboru ETW WWSAPI, který vytváří výstup čitelný pro člověka. Může vytvořit výstup ze všech podporovaných platforem. Podívejte se na jeho použití (wstracedump.exe -?) pro další informace.

Zobrazení trasování trasovacích souborů ETW WWSAPI pomocí nástrojů etW (funguje v systému Windows Vista a novějších)

Tracerpt.exe je nástroj pro zobrazení obsahu souboru protokolu událostí ETW a je k dispozici na všech podporovaných platformách. Dá se použít ke generování souborů CSV, EVTX nebo XML dump ze souboru protokolu událostí ETW. Vygenerovaný výstupní soubor však obsahuje čitelné trasování pouze v systému Windows Vista a novějších verzích. Tyto pokyny popisují, jak vygenerovat soubor s výpisem kódu XML a použít ho společně se souborem xsl k zobrazení trasování v pěkném formátu (soubor xsl je velmi triviální a může být změněn, pokud jsou požadované různé formáty).

  • Běž

    tracerpt <EtlLogFileName> -o <OutputXMLFileName>

    k vytvoření výpisu kódu XML z binárního souboru ETL (tracerpt.exe ve výchozím nastavení vytvoří výstupní soubor ve formátu XML. Spustit tracerpt -? Chcete-li zobrazit další dostupné formáty).

  • V tomto okamžiku uvidíte informace o trasování v souboru XML. Kromě toho můžete otevřít soubor wstrace.htm a použít výpisový soubor XML a soubor wstrace.xsl k zobrazení trasování v přehlednějším formátu. Mějte na paměti, že soubory musí být na místním počítači, aby bylo možné tento soubor HTML použít v IE.

Bezpečnost

Při povolování trasování by správci měli vzít v úvahu, že spotřebovává další místo na disku a výpočetní výkon. Škodlivý klient nebo aplikace může vyčerpat systémové prostředky, pokud nejsou nakonfigurovaná nastavení trasování s rozumnými limity. Při použití funkce trasování zpráv mohou být zprávy, které obsahují citlivé informace, jako jsou přihlašovací údaje, osobní údaje atd., zachovány na disku nebo jsou zobrazeny kýmkoli, kdo má přístup k systémovému prohlížeči událostí. Jako zmírnění tohoto problému může trasování povolit uživatelé systému nebo správce ve Windows 2003 a novějších verzích. Trasování zpráv je zakázáno v systému Windows XP, ve kterém může jakýkoli uživatel zapnout trasování.

Následující výčet se používá s trasováním: