Kontrol pelacakan Winsock
Pelacakan Winsock dapat dikontrol dengan menggunakan salah satu metode berikut:
Peralatan baris perintah
Dua alat baris perintah disertakan dengan Windows Vista dan Windows Server 2008 yang digunakan untuk mengontrol pelacakan dan mengonversi file log jejak biner menjadi teks yang dapat dibaca.
Alat logman.exe digunakan untuk memulai atau menghentikan pelacakan Winsock.
Alat tracerpt.exe digunakan untuk mengonversi file log jejak biner ke file teks yang dapat dibaca.
Penampil Peristiwa
Penampil Peristiwa di Windows Vista dan yang lebih baru juga dapat digunakan untuk mengaktifkan pelacakan Winsock. Penampil Peristiwa dapat diakses di bawah Alat Administratif dari menu Mulai.
Menggunakan logman dan tracerpt
Pelacakan peristiwa jaringan Winsock dinonaktifkan secara default pada Windows Vista dan yang lebih baru.
Perintah berikut memulai pelacakan peristiwa jaringan Winsock di komputer, mengatur nama sesi pelacakan peristiwa ke mywinsocksession, dan mengirim output ke file log biner yang disebut winsocklogfile.etl:
logman mulai -ets mywinsocksession -o winsocklogfile.etl -p Microsoft-Windows-Winsock-AFD
File log dibuat di direktori saat ini dengan nama file formulir winsocklogfile_000001.etl
Perintah berikut menghentikan pelacakan Winsock di atas pada komputer untuk sesi bernama mywinsocksession:
logman stop -ets mywinsocksession
File log biner akan ditulis ke lokasi yang ditentukan oleh parameter –o. Untuk menerjemahkan file biner ke dalam file teks yang dapat dibaca, tracerpt.exe digunakan:
tracerpt.exe <nama file .etl> –o winsocktracelog.txt
Jika file output yang berisi xml daripada teks biasa lebih disukai, perintah berikut digunakan:
tracerpt.exe <nama file .etl> –o winsocktracelog.xml –of xml
Pelacakan perubahan katalog Winsock diaktifkan secara default pada Windows Vista dan yang lebih baru.
Nota
Penyedia Layanan Berlapis tidak digunakan lagi. Dimulai dengan Windows 8 dan Windows Server 2012, gunakan Windows Filtering Platform.
Perintah berikut memulai pelacakan Perubahan Katalog Winsock untuk penyedia layanan berlapis (LSP) di komputer, mengatur nama sesi pelacakan peristiwa ke mywinsockcatalogsession, dan mengirim output ke file log biner yang disebut winsockcataloglogfile.etl:
logman start -ets mywinsockcatalogsession -o winsockcataloglogfile.etl -p Microsoft-Windows-Winsock-WS2HELP
File log dibuat di direktori saat ini dengan nama file formulir winsockcataloglogfile_000001.etl
Perintah berikut menghentikan pelacakan Winsock di atas pada komputer untuk sesi bernama mysession:
pencatat menghentikan -ets mywinsockcatalogsession
File log biner akan ditulis ke lokasi yang ditentukan oleh parameter –o. Untuk menerjemahkan file biner ke dalam file teks yang dapat dibaca, tracerpt.exe digunakan:
tracerpt.exe <nama file .etl> –o winsockcatalogtracelog.txt
Jika file output yang berisi xml daripada teks biasa lebih disukai, perintah berikut digunakan:
tracerpt.exe <nama file .etl> –o winsockcatalogtracelog.xml –of xml
Menggunakan Penampil Peristiwa untuk Memulai Pelacakan Peristiwa Jaringan Winsock
Saat Anda membuka Penampil Peristiwa, panel kiri berisi daftar peristiwa. Buka Log Aplikasi dan Layanan dan arahkan ke Microsoft\Windows\Winsock Network Event sebagai sumber dan pilih Operasional.
Di panel Tindakan, pilih Properti Log dan centang kotak centang Aktifkan Pengelogan. Setelah pengelogan diaktifkan, Anda juga dapat mengubah ukuran file log jika diperlukan.
Pelacakan peristiwa jaringan Winsock sekarang diaktifkan dan yang perlu Anda lakukan adalah menekan tindakan Refresh untuk memperbarui daftar peristiwa yang telah dicatat. Untuk menghentikan pengelogan, cukup hapus centang tombol radio yang sama.
Anda mungkin perlu meningkatkan ukuran log tergantung pada berapa banyak peristiwa yang ingin Anda lihat. Salah satu kelemahan menggunakan Penampil Peristiwa untuk pelacakan Winsock adalah tidak memuat semua sumber daya string sehingga pesan yang ditampilkan di bidang Deskripsi (setelah Anda memilih peristiwa) terkadang sulit dibaca (argumen yang harus diformat sebagai hex akan ditampilkan dalam desimal, misalnya). Namun, Anda dapat memilih tab Detail dalam deskripsi peristiwa yang menunjukkan entri log XML mentah yang biasanya lebih mudah dipahami argumen.
Menggunakan Penampil Peristiwa untuk Memulai Pelacakan Perubahan Katalog Winsock
Saat Anda membuka Penampil Peristiwa, panel kiri berisi daftar peristiwa. Buka Log Aplikasi dan Layanan dan navigasikan ke Microsoft\Windows\Winsock Perubahan Katalog sebagai sumber dan pilih Operasional.
Di panel Tindakan, pilih Properti Log dan centang kotak centang Aktifkan Pengelogan. Setelah pengelogan diaktifkan, Anda juga dapat mengubah ukuran file log jika diperlukan.
Pelacakan perubahan katalog Winsock sekarang diaktifkan dan yang perlu Anda lakukan adalah menekan tindakan Refresh untuk memperbarui daftar peristiwa yang telah dicatat. Untuk menghentikan pengelogan, cukup hapus centang tombol radio yang sama.
Anda mungkin perlu meningkatkan ukuran log tergantung pada berapa banyak peristiwa yang ingin Anda lihat. Salah satu kelemahan menggunakan Penampil Peristiwa untuk pelacakan Winsock adalah tidak memuat semua sumber daya string sehingga pesan yang ditampilkan di bidang Deskripsi (setelah Anda memilih peristiwa) terkadang sulit dibaca (argumen yang harus diformat sebagai hex akan ditampilkan dalam desimal, misalnya). Namun, Anda dapat memilih tab Detail dalam deskripsi peristiwa yang menunjukkan entri log XML mentah yang biasanya lebih mudah dipahami argumen.
Menafsirkan Log Pelacakan Winsock
Semua peristiwa pelacakan Winsock dalam log berisi dua jenis informasi:
- Sistem
- EventData
Informasi sistem berisi tingkat pengelogan, waktu entri log dibuat, ID peristiwa yang mewakili jenis peristiwa, ID Proses eksekusi, ID Utas eksekusi, dan informasi sistem lainnya. Tingkat log 4 dalam pelacakan Winsock mewakili pengelogan peristiwa informasi. Tingkat log 5 dalam pelacakan Winsock mewakili pencatatan peristiwa secara rinci.
ID proses eksekusi dan ID utas dalam informasi sistem menunjukkan proses dan utas yang berjalan saat peristiwa terjadi. Dalam banyak kasus, ini akan mewakili utas kernel atau pekerja dan proses, bukan utas mode pengguna atau proses aplikasi. Jadi bidang ini biasanya tidak terlalu berguna.
Setiap jenis peristiwa pelacakan Winsock memiliki ID peristiwa unik di bagian sistem data yang dicatat. ID peristiwa ini dapat dengan mudah digunakan untuk memfilter file log untuk peristiwa pelacakan Winsock tertentu.
Eventdata berisi informasi khusus untuk jenis peristiwa.
Parameter Proses dalam informasi eventdata adalah alamat struktur EPROCESS kernel untuk proses, bukan PID aktual. Untuk mencocokkan kejadian dengan PID mode pengguna, ambil nilai Proses dari informasi eventdata dari entri log apa pun dan lihat ke bagian log sebelumnya untuk kejadian pembuatan soket dengan nilai Proses. Setelah kecocokan ditemukan, parameter terakhir dalam data peristiwa pembuatan soket adalah ID Proses mode pengguna yang membuat soket.
Parameter Alamat dalam informasi eventdata dikembalikan dalam beberapa peristiwa pelacakan Winsock. Parameter Alamat mewakili alamat IP, tetapi ditampilkan dalam file teks yang dibuat oleh alat tracerpt.exe atau di Penampil Peristiwa sebagai byte mentah atau angka. Alamat IPv6 ditampilkan dalam heksadesimal, sehingga lebih mudah dipahami. Alamat IPv4 ditampilkan sebagai angka desimal besar. Pengembang harus mengonversi byte mentah alamat IPv4 secara manual ke notasi alamat desimal bertitik IPv4 yang lebih akrab agar dapat menafsirkan nilai dengan lebih baik.
Parameter Kesalahan dalam eventdata dikembalikan dalam beberapa peristiwa pelacakan Winsock. Parameter Kesalahan adalah bentuk kode kesalahan NTSTATUS atau HRESULT. Parameter kesalahan ini ditampilkan dalam file teks yang dibuat oleh alat tracerpt.exe atau di Pemeriksa Peristiwa sebagai angka desimal. Pengembang perlu mengonversi angka desimal secara manual ke angka hex untuk menginterpretasikan kode kesalahan dengan lebih baik dalam beberapa kasus.