Winsock-nyomkövetés vezérlése
A Winsock-nyomkövetés az alábbi módszerek egyikével vezérelhető:
Parancssori eszközök
A Windows Vista és a Windows Server 2008 két parancssori eszközt tartalmaz, amelyek a nyomkövetés szabályozására és a bináris nyomkövetési naplófájl olvasható szöveggé alakítására szolgálnak.
A logman.exe eszköz a Winsock-nyomkövetés elindítására vagy leállítására szolgál.
A tracerpt.exe eszközzel a bináris nyomkövetési naplófájl olvasható szövegfájllá alakítható.
Eseménynapló
A Windows Vista és újabb rendszerek eseménynaplója a Winsock-nyomkövetés engedélyezésére is használható. Az Eseménynapló a Felügyeleti eszközök alatt érhető el a Start menüből.
A logman és a tracerpt használata
A Winsock hálózati eseménykövetés alapértelmezés szerint le van tiltva Windows Vista és újabb rendszereken.
A következő parancs elindítja a Winsock hálózati eseménykövetést a számítógépen, beállítja az eseménykövetési munkamenet nevét a mywinsocksession értékre, és kimenetet küld egy winsocklogfile.etl nevű bináris naplófájlnak:
logman start -ets mywinsocksession -o winsocklogfile.etl -p Microsoft-Windows-Winsock-AFD
A naplófájlok az aktuális könyvtárban jönnek létre az winsocklogfile_000001.etl űrlap fájlneveivel
A következő parancs leállítja a fenti Winsock-nyomkövetést egy számítógépen a mywinsocksession nevű munkamenethez:
naplóvezető leállítja -ets mywinsocksession
A bináris naplófájlok az –o paraméter által megadott helyre lesznek megírva. A bináris fájl olvasható szövegfájlba való fordításához tracerpt.exe használható:
tracerpt.exe <.etl fájl neve> –o winsocktracelog.txt
Ha az egyszerű szöveg helyett XML-t tartalmazó kimeneti fájl van előnyben, a következő parancsot használja:
tracerpt.exe <.etl fájl neve> –o winsocktracelog.xml –of xml
A Winsock-katalógus változáskövetése alapértelmezés szerint engedélyezve van Windows Vista és újabb rendszereken.
Jegyzet
A rétegzett szolgáltatók elavultak. A Windows 8-tól és a Windows Server 2012-től kezdve használja a Windows Szűrési Platformot.
Az alábbi parancs elindítja a Winsock Catalog Change tracing for layered service providers (LSPs) szolgáltatást a számítógépen, beállítja az eseménykövetési munkamenet nevét a mywinsockcatalogsession értékre, és kimenetet küld a winsockcataloglogfile.etl nevű bináris naplófájlba:
logman -ets mywinsockcatalogsession -o winsockcataloglogfile.etl -p Microsoft-Windows-Winsock-WS2HELP
A naplófájlok az aktuális könyvtárban jönnek létre az winsockcataloglogfile_000001.etl űrlap fájlneveivel
A következő parancs leállítja a fenti Winsock-nyomkövetést egy számítógépen a mysession nevű munkamenethez:
logman leállítja -ets mywinsockcatalogsession
A bináris naplófájlok az –o paraméter által megadott helyre lesznek megírva. A bináris fájl olvasható szövegfájlba való fordításához tracerpt.exe használható:
tracerpt.exe <.etl fájl neve> –o winsockcatalogtracelog.txt
Ha az egyszerű szöveg helyett XML-t tartalmazó kimeneti fájl van előnyben, a következő parancsot használja:
tracerpt.exe <.etl fájl neve> –o winsockcatalogtracelog.xml –of xml
Az Eseménynapló használata a Winsock-hálózat eseménykövetésének elindításához
Az Eseménynapló megnyitásakor a bal oldali panel tartalmazza az események listáját. Nyissa meg az Alkalmazások és Szolgáltatások naplóit, navigáljon a Microsoft\Windows\Winsock Hálózati Esemény forráshoz, és válassza a Működésilehetőséget.
A Művelet panelen jelölje be Naplótulajdonságok lehetőséget, és jelölje be a Naplózás engedélyezése jelölőnégyzetet. Ha a naplózás engedélyezve van, szükség esetén módosíthatja a naplófájl méretét is.
A Winsock hálózati eseménykövetés engedélyezve van, és mindössze annyit kell tennie, hogy a Frissítés műveletet lenyomva frissíti a naplózott események listáját. A naplózás leállításához egyszerűen törölje ugyanazt a választógombot.
Előfordulhat, hogy növelnie kell a napló méretét attól függően, hogy hány eseményt szeretne látni. Az Eseménynapló winsock-nyomkövetéshez való használatának egyik hátránya, hogy nem tölti be az összes sztringerőforrást, így a Leírás mezőben (az esemény kiválasztása után) megjelenő üzenetek néha nehezen olvashatók (például a hexaként formázandó argumentumok decimális formátumban jelennek meg). Az esemény leírásában azonban kiválaszthatja a Részletek lapot, amely a nyers XML-naplóbejegyzést jeleníti meg, amely általában könnyebben érthető argumentumokat tartalmaz.
Winsock-katalógus változáskövetésének indítása az Eseménynapló használatával
Az Eseménynapló megnyitásakor a bal oldali panel tartalmazza az események listáját. Nyissa meg az Alkalmazások és Szolgáltatások naplóit, és navigáljon a Microsoft\Windows\Winsock-katalógus változás forráshoz, majd válassza ki a Működésilehetőséget.
A Művelet panelen jelölje be Naplótulajdonságok lehetőséget, és jelölje be a Naplózás engedélyezése jelölőnégyzetet. Ha a naplózás engedélyezve van, szükség esetén módosíthatja a naplófájl méretét is.
A Winsock-katalógus változáskövetése most már engedélyezve van, és mindössze annyit kell tennie, hogy a Frissítés műveletet lenyomva frissíti a naplózott események listáját. A naplózás leállításához egyszerűen szüntesse meg a jelölést ugyanazon a jelölőnégyzeten.
Előfordulhat, hogy növelnie kell a napló méretét attól függően, hogy hány eseményt szeretne látni. Az Eseménynapló winsock-nyomkövetéshez való használatának egyik hátránya, hogy nem tölti be az összes sztringerőforrást, így a Leírás mezőben (az esemény kiválasztása után) megjelenő üzenetek néha nehezen olvashatók (például a hexaként formázandó argumentumok decimális formátumban jelennek meg). Az esemény leírásában azonban kiválaszthatja a Részletek lapot, amely a nyers XML-naplóbejegyzést jeleníti meg, amely általában könnyebben érthető argumentumokat tartalmaz.
Winsock nyomkövetési naplóinak értelmezése
A napló összes Winsock nyomkövetési eseménye kétféle információt tartalmaz:
- Rendszer
- EseményAdat
A rendszerinformációk tartalmazzák a naplózási szintet, a naplóbejegyzés létrehozásának időpontját, az esemény típusát, a végrehajtási folyamat azonosítóját, a végrehajtási szál azonosítóját és egyéb rendszerinformációkat. A Winsock-nyomkövetés 4-es naplószintje az információs eseménynaplózást jelöli. A Winsock-nyomkövetés 5-ös naplószintje részletes eseménynaplózást jelent.
A rendszerinformációk végrehajtási folyamatazonosítója és szálazonosítója azt a folyamatot és szálat jelzi, amely az esemény bekövetkezésekor futott. Ez sok esetben egy kernel- vagy feldolgozószálat és -folyamatot jelöl, nem pedig felhasználói módú szálat és az alkalmazás folyamatát. Tehát ez a mező általában nem túl hasznos.
Minden Winsock-nyomkövetési eseménytípus egyedi eseményazonosítóval rendelkezik a naplózott adatok rendszerszakaszában. Ezek az eseményazonosítók egyszerűen használhatók egy naplófájl szűrésére adott Winsock-nyomkövetési eseményekre.
Az eventdata az eseménytípusra vonatkozó információkat tartalmaz.
Az eventdata-adatok folyamatparamétere a folyamat kernel EPROCESS-struktúrájának címe, nem pedig a tényleges PID. Ahhoz, hogy egy eseményt összehangoljon a felhasználói mód PID-jével, vegye a Folyamat azonosítót az eseményadatokból bármelyik naplóbejegyzésből, és keresse meg a napló korábbi részében azt a socket létrehozási eseményt, amely rendelkezik ezzel a Folyamat azonosítóval. Miután egyezést talált, a foglalat létrehozási eseményadatainak utolsó paramétere a foglalatot létrehozó felhasználói módú process azonosítója.
Az eseményadat-adatok címparamétere bizonyos Winsock-nyomkövetési eseményekben lesz visszaadva. A Cím paraméter egy IP-címet jelöl, de a tracerpt.exe eszköz által létrehozott szövegfájlban vagy az Eseménynaplóban nyers bájtként vagy számként jelenik meg. Az IPv6-címek hexadecimális módon jelennek meg, így könnyebben értelmezhetők. Az IPv4-címek nagy decimális számként jelennek meg. A fejlesztőknek manuálisan kell átalakítania egy IPv4-cím nyers bájtját az ismertebb IPv4 pontozott-decimális cím jelölésére, hogy jobban tudják értelmezni az értéket.
Az eventdata hibaparamétere bizonyos Winsock nyomkövetési eseményekben jelenik meg. A hibaparaméter NTSTATUS vagy HRESULT hibakód formájában jelenik meg. Ez a hibaparaméter a tracerpt.exe eszköz által létrehozott szövegfájlban vagy az Eseménynaplóban tizedes törtként jelenik meg. A fejlesztőknek manuálisan kell konvertálni a decimális számot hexa számmá, hogy bizonyos esetekben jobban értelmezhessék a hibakódot.