Bagikan melalui

Melacak Aktivitas WMI

  • Artikel

Dimulai dengan Windows Vista, layanan WMI tidak menggunakan File Log WMI. Sebagai gantinya, ia menggunakan Event Tracing for Windows (ETW) dan peristiwa tersedia melalui Event Viewer atau alat baris perintah Wevtutil.

Bagian berikut dibahas dalam topik ini:

Mendapatkan Peristiwa WMI Melalui Penampil Peristiwa

File WMITracing.log berisi peristiwa yang dilacak WMI. Namun, ini adalah file biner. Untuk melihat peristiwa ini dalam format yang dapat dibaca oleh manusia, gunakan Event Viewer.

Secara bawaan, peristiwa WMI tidak dilacak. Prosedur ini menjelaskan cara menggunakan Pemeriksa Peristiwa untuk mengaktifkan pelacakan peristiwa WMI dan melacak peristiwa WMI. Anda dapat melakukan operasi yang sama melalui alat baris perintah wevtutil.

Untuk melihat Peristiwa WMI di Penampil Peristiwa

  1. Buka Penampil Peristiwa. Pada menu Tampilan, klik Tampilkan Log Analitik dan Debug. Temukan log saluran Jejak untuk WMI di bawah Log Aplikasi dan Layanan | Microsoft | Windows | Aktivitas WMI.
  2. Klik kanan log Jejak dan pilih Properti Log. Klik kotak centang Aktifkan pencatatan log untuk memulai pelacakan kejadian WMI. Untuk informasi selengkapnya tentang saluran, lihat Log Peristiwa dan Saluran di Log Peristiwa Windows.
  3. Peristiwa WMI muncul di jendela peristiwa untuk WMI-Activity. Klik dua kali peristiwa dalam daftar untuk melihat informasi terperinci. Anda bisa melihat peristiwa dalam Tampilan XML atau dalam format Tampilan Bersahabat.

Bidang ID Peristiwa menampilkan nilai yang berisi informasi berikut.

Peristiwa 1

Awal urutan peristiwa untuk operasi tertentu. Satu kemunculan untuk setiap urutan.

Bidang peristiwa untuk Peristiwa 1 adalah:

  • GroupOperationID adalah pengidentifikasi unik yang digunakan untuk semua peristiwa yang dilaporkan untuk klien tertentu.
  • OperationId menunjukkan urutan operasi.
  • Operasi menentukan koneksi atau permintaan ke WMI.
  • Pengguna menunjukkan akun yang membuat permintaan ke WMI dengan menjalankan skrip atau melalui CIM Studio.
  • Namespace memperlihatkan namespace layanan WMI tempat koneksi dibuat.

Misalnya, skrip dapat meminta semua instans kelas WMI, seperti Win32_Service. Operasi pertama mungkin merupakan koneksi ke WMI.

peristiwa 2

Peristiwa yang membentuk operasi. Satu atau beberapa kemunculan dalam urutan.

Bidang peristiwa untuk Peristiwa 2 adalah:

  • GroupOperationID menunjukkan urutan kejadian terjadi.
  • GroupOperationID menunjukkan urutan kejadian terjadi.
  • ProviderName menunjukkan nama penyedia yang menyediakan data.
  • Path adalah jalur WMI ke objek.

Misalnya, operasi tersebut mungkin merupakan enumerasi dari Win32_Service.

peristiwa 3

Akhir urutan peristiwa untuk operasi tertentu. Satu kemunculan untuk setiap urutan.

Hanya GroupOperationID yang ditampilkan.

Mengaktifkan Pelacakan WMI di Prompt Perintah

Anda juga dapat mengaktifkan pelacakan peristiwa WMI melalui alat baris perintah Wevtutil. Gunakan perintah berikut: Wevtutil.exe sl Microsoft-Windows-WMI-Activity/Trace /e:true. Sumber kejadian WMI adalah Microsoft-Windows-WMI. Untuk informasi selengkapnya tentang Wevtutil.exe, lihat Tentang Log Peristiwa Windows.

Menggunakan Pelacakan WMI dengan Basis WPP

Di sistem operasi Windows yang dimulai dengan Windows Vista, WMI membuat saluran pelacakan aktif selama proses boot. Nama saluran WMI_Trace_Session. Hanya kesalahan yang dicatat di saluran.

Prapemrosisi pelacakan perangkat lunak Windows (WPP) merekam informasi dalam file biner. Untuk membaca file, Anda harus terlebih dahulu menerjemahkannya ke dalam format teks yang dapat dibaca. Anda menggunakan alat yang disebut tracefmt.exe dari Windows Driver Kit (WDK) untuk melakukan terjemahan. Alat ini memerlukan informasi yang disimpan dalam beberapa file terkait. File terletak di direktori %SystemRoot%\System32\wbem\tmf dan memiliki ekstensi nama file .tmf. Alat ini sebenarnya memerlukan satu file .tmf . Anda membuat file tunggal itu dengan menggabungkan semua file .tmf ke file .tmf lain. Untuk informasi selengkapnya tentang file .tmf, lihat Lacak File Format Pesan.

Setelah menginstal Windows Driver Kit (WDK) untuk mendapatkan alat perintah baris tracelog.exe dan tracefmt.exe, lakukan langkah-langkah berikut untuk mengumpulkan jejak WMI berbasis WPP.

Untuk melihat penelusuran WMI berbasis WPP

  1. Untuk membuat file .tmf tunggal, buka jendela Prompt Perintah yang ditingkatkan dan navigasikan ke direktori %SystemRoot%\System32\wbem\tmf.

  2. Ketik salin /y %SystemRoot%\System32\wbem\tmf\*.tmf %SystemRoot%\System32\wbem\tmf\wmi.tmf. Ini akan membuat file bernama wmi.tmf yang menyertakan konten semua file .tmf lainnya.

  3. Ketik tracelog -flush WMI_Trace_Session . Ini akan menghapus buffer WPP pada disk.

  4. Ketik set TRACE_FORMAT_PREFIX = [%9!d!]%8!04X!.%3!04X!.%3!04X!::%4!s! [%1!s!](%!COMPNAME!:%!FUNC !:%2!s!). Alat tracefmt menambahkan beberapa informasi default ke setiap pesan pelacakan. Anda dapat mengonfigurasi informasi apa yang disertakan dengan mengatur variabel lingkungan TRACE_FORMAT_PREFIX. Untuk mempelajari tentang sintaksis yang dipakai, lihat Awalan Pesan Pelacakan.

  5. Ketik tracefmt -tmf %systemroot%\system32\wbem\tmf\wmi.tmf -o OUTPUT.TXT %systemroot%\system32\wbem\logs\WMITracing.log. Ini melakukan terjemahan dari format biner ke format teks yang dapat dibaca.

  6. Ketik notepad %systemroot%\system32\wbem\tmf\OUTPUT.TXT. Ini akan membuka file pelacakan di Notepad.

Berikut ini adalah beberapa tugas terkait WPP lainnya yang mungkin perlu Anda lakukan.

Menghentikan penelusuran WMI berbasis WPP

  • Ketik tracelog -stop WMI_Trace_Session.

Untuk memulai pelacakan WMI yang berbasis WPP

  • Ketik tracelog -start WMI_Trace_Session -guid #1FF6B227-2CA7-40f9-9A66-980EADAA602E -rt -level 5 -flag 0x7 -f MYTRACE.BIN

Windows Vista: Secara default, pelacakan WMI berbasis WPP diatur ke tingkat 2 yang hanya menyertakan pesan kesalahan. Untuk menyertakan pesan informasi juga, atur tingkat ke 4. Semua area WMI ditelusuri secara default. Ada tiga area berbeda yang dapat ditelusuri: Core (flag=0x1), ESS (flag=0x2) dan Prov (flag=0x4). Dalam perintah mulai di atas, bendera dengan menandai 0x7 menyebabkan ketiga area tersebut ditelusuri.

Windows 7: Secara default, pelacakan WMI berbasis WPP dinonaktifkan dan diatur ke tingkat 0. Untuk menggunakan pelacakan WMI berbasis WPP, fitur ini harus diaktifkan dan diatur ke tingkat 2 untuk pesan kesalahan atau tingkat 4 untuk pesan kesalahan dan informasi.

Untuk mencantumkan semua sesi penelusuran WPP

  • Ketik tracelog -l.

Untuk menampilkan informasi tentang sesi pelacakan WMI WPP

  • Ketik tracelog -l | findstr /i "wmi_trace".

Untuk melihat parameter sesi pelacakan WMI WPP

  • Ketik tracelog -q WMI_Trace_Session.

Pemecahan Masalah WMI

File Log WMI