Aracılığıyla paylaş

WMI Etkinliğini İzleme

  • Makale

Windows Vista'dan itibaren, WMI hizmeti WMI Günlük Dosyalarıkullanmaz. Bunun yerine, Windows için Olay İzleme (ETW) kullanır ve olaylar Olay Görüntüleyicisi veya Wevtutil komut satırı aracı aracılığıyla kullanılabilir.

Bu konuda aşağıdaki bölümler ele alınmıştır:

Olay Görüntüleyicisi Aracılığıyla WMI Olaylarını Alma

WMITracing.log dosyası WMI'nin izlemesi gereken olayları içerir. Ancak, bu ikili bir dosyadır. Bu olayları insanlar tarafından okunabilir bir biçimde görmek için Olay Görüntüleyicisikullanın.

Varsayılan olarak WMI olayları izlenmez. Bu yordamda WMI olay izlemesini etkinleştirmek ve WMI olaylarını bulmak için Olay Görüntüleyicisi nasıl kullanılacağı açıklanır. Wevtutil komut satırı aracı aracılığıyla aynı işlemleri yapabilirsiniz.

Olay Görüntüleyicisi'nde WMI Olaylarını görüntülemek için

  1. Olay Görüntüleyicisi'niaçın. Görünüm menüsünde Analiz ve Hata Ayıklama Günlüklerini Göster'etıklayın. Uygulamalar ve Hizmet Günlükleri altında WMI için İzleme kanal günlüğünü bulun | Microsoft | Windows | WMI Etkinliği.
  2. İzleme günlüğüne sağ tıklayın ve Günlük Özellikleri'ni seçin. WMI olay izlemesini başlatmak için Günlüğe Kaydetmeyi Etkinleştir onay kutusuna tıklayın. Daha fazla bilgi için, Windows Olay Günlüğü'nde Olay Günlükleri ve Kanallar'a bakın.
  3. WMI olayları WMI-Activityiçin olay penceresinde görünür. Ayrıntılı bilgileri görmek için listedeki bir olaya çift tıklayın. Bir olayı XML Görünümü veya Kolay Görünüm biçiminde görüntüleyebilirsiniz.

Olay Kimliği alanında aşağıdaki bilgileri içeren bir değer görüntülenir.

Olay 1

Belirli bir işlem için olay dizisinin başlangıcı. Her dizi için bir kez.

Olay 1 için olay alanları şunlardır:

  • GroupOperationID, belirli bir istemci için bildirilen tüm olaylar için kullanılan benzersiz bir tanımlayıcıdır.
  • OperationId işlem sırasını gösterir.
  • İşlem WMI bağlantısını veya isteğini belirtir.
  • Kullanıcı, bir betik çalıştırarak veya CIM Studio aracılığıyla WMI'ye istekte bulunan hesabı gösterir.
  • Ad Alanı, bağlantının yapıldığı WMI ad alanını gösterir.

Örneğin, bir betik Win32_Servicegibi bir WMI sınıfının tüm örneklerini isteyebilir. İlk işlem WMI bağlantısı olabilir.

Olay 2

İşlemi oluşturan olaylar. Dizideki bir veya daha fazla oluşum.

Olay 2 için olay alanları şunlardır:

  • GroupOperationID olayın gerçekleştiği sırayı gösterir.
  • GroupOperationID olayın gerçekleştiği sırayı gösterir.
  • ProviderName, verileri sağlayan sağlayıcının adını gösterir.
  • Yol nesnenin WMI yoludur.

Örneğin, işlem Win32_Servicenumaralandırması olabilir.

Etkinlik 3

Belirli bir işlem için olay dizisinin sonu. Her dizi için bir olay.

Yalnızca GroupOperationID gösterilir.

Komut İsteminde WMI İzlemeyi Etkinleştirme

Wmi olay izlemeyi Wevtutil komut satırı aracı aracılığıyla da etkinleştirebilirsiniz. Şu komutu kullanın: Wevtutil.exe sl Microsoft-Windows-WMI-Activity/Trace /e:true. WMI olay kaynağı Microsoft-Windows-WMI'dir. Daha fazla bilgi için Wevtutil.exehakkında bkz: Windows Olay Günlüğühakkında.

WPP tabanlı WMI İzleme kullanma

Windows Vista ile başlayan Windows işletim sistemlerinde WMI, önyükleme işlemi sırasında etkin bir izleme kanalı oluşturur. Kanalın adı WMI_Trace_Session. Kanala yalnızca hatalar kaydedilir.

Windows yazılım izleme ön işlemcisi (WPP), bilgileri ikili bir dosyaya kaydeder. Dosyayı okumak için önce okunabilir bir metin biçimine çevirmeniz gerekir. Çeviriyi yapmak için Windows Driver Kit (WDK) tracefmt.exe adlı bir araç kullanırsınız. Araç, bazı ilişkili dosyalarda depolanan bilgileri gerektirir. Dosyalar %SystemRoot%\System32\wbem\tmf dizininde bulunur ve bir .tmf dosya adı uzantısına sahiptir. Araç aslında tek bir .tmf dosyası gerektirir. Tüm .tmf dosyalarını başka bir .tmf dosyasına birleştirerek bu tek dosyayı oluşturursunuz. .tmf dosyaları hakkında daha fazla bilgi için bkz. İleti İzleme Biçimi Dosyası.

tracelog.exe ve tracefmt.exe komut satırı araçlarını almak için Windows Driver Kit (WDK) yükledikten sonra WPP tabanlı WMI izlemesini toplamak için aşağıdaki adımları gerçekleştirin.

WPP tabanlı WMI izleme görüntülemek için

  1. Tek bir .tmf dosyası oluşturmak için yükseltilmiş bir Komut İstemi penceresi açın ve \System32\wbem\tmf dizinine %SystemRoot%gidin.

  2. kopyala /y %SystemRoot%\System32\wbem\tmf\*.tmf %SystemRoot%\System32\wbem\tmf\wmi.tmf. Bu, diğer tüm .tmf dosyalarının içeriğini içeren wmi.tmf adlı bir dosya oluşturur.

  3. izleme günlüğü yazın -flush WMI_Trace_Session. Bu, disk üzerindeki WPP arabelleklerini temizler.

  4. set TRACE_FORMAT_PREFIX = [%9!d!]%8!04X! yazın.%3!04X!.%3!04X!::%4!s! [%1!s!](%! COMPNAME!:%! FUNC !:%2!s!). tracefmt aracı, her izleme iletisine bazı varsayılan bilgiler ekler. TRACE_FORMAT_PREFIX ortam değişkenini ayarlayarak hangi bilgilerin dahil olduğunu yapılandırabilirsiniz. Kullanılan söz dizimi hakkında bilgi edinmek için bkz. İzleme İletisi Ön Eki.

  5. tracefmt -tmf %systemroot%\system32\wbem\tmf\wmi.tmf -o OUTPUT.TXT %systemroot%\system32\wbem\logs\WMITracing.logyazın. Bu, ikili biçimden okunabilir metin biçimine çeviri gerçekleştirir.

  6. \system32\wbem\tmf\OUTPUT.TXT %systemroot%not defteri yazın. Bu işlem, izleme dosyasını Not Defteri'nde açar.

Aşağıda, gerçekleştirmeniz gerekebilecek WPP ile ilgili diğer bazı görevler verilmiştir.

WPP tabanlı WMI izlemesini durdurmak için

  • -stop WMI_Trace_Session izleme günlüğü yazın.

WPP tabanlı WMI izleme başlatmak için

  • tracelog -start WMI_Trace_Session -guid #1FF6B227-2CA7-40f9-9A66-980EADAA602E -rt -level 5 -flag 0x7 -f MYTRACE.BIN

Windows Vista: Varsayılan olarak WPP tabanlı WMI izleme, yalnızca hata iletilerini içeren düzey 2'ye ayarlanır. Bilgilendiren iletileri de eklemek için düzeyi 4 olarak ayarlayın. WMI'nin tüm alanları varsayılan olarak izlenir. İzlenebilen üç ayrı alan vardır: Çekirdek (flag=0x1), ESS (flag=0x2) ve Prov (flag=0x4). Yukarıdaki başlat komutunda, bayrağı 0x7 üç alanın da izlenmesine neden olur.

Windows 7: Varsayılan olarak WPP tabanlı WMI izleme devre dışı bırakılır ve düzey 0 olarak ayarlanır. WPP tabanlı WMI izlemeyi kullanmak için bu özelliğin etkinleştirilmesi ve hata iletileri için düzey 2 veya hem hata hem de bilgilendirici iletiler için düzey 4 olarak ayarlanması gerekir.

Tüm WPP izleme oturumlarını listelemek

  • tracelog -lyazın.

WMI WPP izleme oturumu hakkındaki bilgileri listelemek

  • Tür izleme günlüğü -l | findstr /i "wmi_trace"yazın.

WMI WPP izleme oturumu parametrelerini görüntüle

  • izleme günlüğü -q WMI_Trace_Sessionyazın.

WMI Sorun Giderme

WMI Günlük Dosyaları