Delen via

WMI-activiteit traceren

  • Artikel

Vanaf Windows Vista maakt de WMI-service geen gebruik van de WMI-logboekbestanden. In plaats daarvan wordt gebruikgemaakt van Event Tracing for Windows (ETW) en gebeurtenissen zijn beschikbaar via Logboekviewer of het opdrachtregelprogramma Wevtutil.

In dit onderwerp worden de volgende secties besproken:

WMI-gebeurtenissen verkrijgen via Event Viewer

Het WMITracing.log-bestand bevat de gebeurtenissen die WMI traceert. Dit is echter een binair bestand. Om deze gebeurtenissen in een door mensen leesbaar formaat te bekijken, gebruikt u de Evenementenweergave.

WMI-gebeurtenissen worden standaard niet getraceerd. In deze procedure wordt beschreven hoe u Logboekenweergave gebruikt om WMI-gebeurtenistracering in te schakelen en WMI-gebeurtenissen te vinden. U kunt dezelfde bewerkingen uitvoeren via het opdrachtregelprogramma wevtutil.

WMI-gebeurtenissen weergeven in Logboekviewer

  1. Open Logboekenviewer. Klik in het menu Weergave op Analytische logboeken en logboeken voor foutopsporing weergeven. Zoek het --kanaallogboek voor WMI onder Toepassingen en servicelogboeken | Microsoft | Windows | WMI-activiteit.
  2. Klik met de rechtermuisknop op het logboek Trace en selecteer Logboekeigenschappen. Klik op het selectievakje Logboekregistratie inschakelen om de WMI-gebeurtenistracering te starten. Zie gebeurtenislogboeken en -kanalen in het Windows-gebeurtenislogboekvoor meer informatie over kanalen.
  3. WMI-gebeurtenissen worden weergegeven in het gebeurtenisvenster voor WMI-Activity. Dubbelklik op een gebeurtenis in de lijst om de gedetailleerde informatie weer te geven. U kunt een gebeurtenis weergeven in XML-weergave of in Vriendelijke weergave.

In het veld gebeurtenis-id wordt een waarde weergegeven die de volgende informatie bevat.

Gebeurtenis 1

Begin van de gebeurtenisreeks voor een specifieke bewerking. Eén voorkomen voor elke reeks.

De gebeurtenisvelden voor een gebeurtenis 1 zijn:

  • GroupOperationID is een unieke id die wordt gebruikt voor alle gebeurtenissen die voor een specifieke client worden gerapporteerd.
  • OperationId geeft de bewerkingsreeks aan.
  • Bewerking geeft de verbinding of aanvraag aan WMI op.
  • Gebruiker geeft het account aan dat een aanvraag doet bij WMI door een script of via CIM Studio uit te voeren.
  • naamruimte toont de WMI-naamruimte waarmee de verbinding wordt gemaakt.

Een script kan bijvoorbeeld alle exemplaren van een WMI-klasse aanvragen, zoals Win32_Service. De eerste bewerking kan een verbinding met WMI zijn.

Gebeurtenis 2

Gebeurtenissen waaruit de bewerking bestaat. Een of meer voorvallen in de reeks.

De gebeurtenisvelden voor een gebeurtenis 2 zijn:

  • GroupOperationID geeft de volgorde aan waarin de gebeurtenis plaatsvindt.
  • GroupOperationID geeft de volgorde aan waarin de gebeurtenis plaatsvindt.
  • ProviderName geeft de naam aan van de provider die de gegevens levert.
  • Pad is het WMI-pad naar het object.

De bewerking kan bijvoorbeeld een opsomming van Win32_Servicezijn.

gebeurtenis 3

Einde van de gebeurtenisreeks voor een specifieke bewerking. Eén voorkomen voor elke reeks.

Alleen de GroupOperationID wordt weergegeven.

WMI-tracering inschakelen bij opdrachtprompt

U kunt WMI-gebeurtenistracering ook inschakelen via het opdrachtregelprogramma Wevtutil. Gebruik de volgende opdracht: Wevtutil.exe sl Microsoft-Windows-WMI-Activity/Trace /e:true. De WMI-gebeurtenisbron is Microsoft-Windows-WMI. Zie Over windows-gebeurtenislogboekenvoor meer informatie over Wevtutil.exe.

WMI-tracering op basis van WPP gebruiken

In Windows-besturingssystemen die beginnen met Windows Vista, maakt WMI een actief traceringskanaal tijdens het opstartproces. De naam van het kanaal is WMI_Trace_Session. Alleen fouten worden vastgelegd in het kanaal.

De Windows-software trace preprocessor (WPP) registreert informatie in een binair bestand. Als u het bestand wilt lezen, moet u het eerst vertalen in een leesbare tekstindeling. U gebruikt een hulpprogramma met de naam tracefmt.exe uit de Windows Driver Kit (WDK) om de vertaling uit te voeren. Voor het hulpprogramma zijn gegevens vereist die zijn opgeslagen in sommige gekoppelde bestanden. De bestanden bevinden zich in de map %SystemRoot%\System32\wbem\tmf en hebben de bestandsextensie .tmf. Voor het hulpprogramma is eigenlijk één TMF-bestand vereist. U maakt dat ene bestand door alle .tmf-bestanden samen te voegen in een ander TMF-bestand. Zie Trace Message Format Filevoor meer informatie over .tmf-bestanden.

Nadat u de Windows Driver Kit (WDK) hebt geïnstalleerd om de tracelog.exe en tracefmt.exe command-linetools op te halen, voert u de volgende stappen uit om een WPP-gebaseerde WMI-trace te verzamelen.

een WMI-tracering op basis van WPP weergeven

  1. Als u het ene TMF-bestand wilt maken, opent u een opdrachtpromptvenster met verhoogde bevoegdheid en gaat u naar de map %SystemRoot%\System32\wbem\tmf.

  2. Typ copy /y %SystemRoot%\System32\wbem\tmf\*.tmf %SystemRoot%\System32\wbem\tmf\wmi.tmf. Hiermee maakt u een bestand met de naam wmi.tmf dat de inhoud van alle andere .tmf-bestanden bevat.

  3. Typ tracelog -flush WMI_Trace_Session. Hierdoor worden de WPP-buffers op de schijf leeggemaakt.

  4. Typ set TRACE_FORMAT_PREFIX = [%9!d!]%8!04X!.%3!04X!.%3!04X!::%4!s![%1!s!](%!COMPNAME!:%!FUNC !:%2!s!). Het tracefmt-hulpprogramma voegt enkele standaardinformatie toe aan elk traceringsbericht. U kunt configureren welke informatie wordt opgenomen door de TRACE_FORMAT_PREFIX omgevingsvariabele in te stellen. Zie Traceerberichtvoorvoegselvoor meer informatie over de gebruikte syntaxis.

  5. Typ tracefmt -tmf %systemroot%\system32\wbem\tmf\wmi.tmf -o OUTPUT.TXT %systemroot%\system32\wbem\logs\WMITracing.log. Hiermee wordt de vertaling uitgevoerd van binaire indeling naar leesbare tekstindeling.

  6. Typ kladblok %systemroot%\system32\wbem\tmf\OUTPUT.TXT. Hiermee opent u het traceringsbestand in Kladblok.

Hier volgen enkele andere WPP-gerelateerde taken die u mogelijk moet uitvoeren.

Het stoppen van WPP-gebaseerde WMI-tracering

  • Typ tracelog -stop WMI_Trace_Session.

Op WPP gebaseerde WMI-tracering starten

  • Typ tracelog -start WMI_Trace_Session -guid #1FF6B227-2CA7-40f9-9A66-980EADAA602E -rt -level 5 -flag 0x7 -f MYTRACE.BIN

Windows Vista: Standaard is WPP-gebaseerde WMI-tracering ingesteld op niveau 2, met alleen foutberichten. Als u ook informatieve berichten wilt opnemen, stelt u het niveau in op 4. Alle gebieden van WMI worden standaard getraceerd. Er zijn drie verschillende gebieden die kunnen worden getraceerd: Kern (flag=0x1), ESS (flag=0x2) en Prov (flag=0x4). In de bovenstaande startopdracht zorgt de vlag 0x7 ervoor dat alle drie de gebieden worden getraceerd.

Windows 7: Standaard is WPP-gebaseerde WMI-tracering uitgeschakeld en ingesteld op niveau 0. Als u op WPP gebaseerde WMI-tracering wilt gebruiken, moet deze functie zijn ingeschakeld en ingesteld op niveau 2 voor foutberichten of niveau 4 voor zowel fout- als informatieve berichten.

Alle WPP-traceringssessies weergeven

  • Typ tracelog -l.

Informatie over de WMI WPP-traceringssessie weergeven

  • Typ tracelog -l | findstr /i "wmi_trace".

De WMI WPP-traceersessieparameters weergeven

  • Typ tracelog -q WMI_Trace_Session.

WMI-probleemoplossing

WMI-logboekbestanden