Takip

İzleme, Windows için Olay İzleme (ETW) kullanır. Windows Server 2008 R2 ile kullanılabilen izleme araçlarından yararlanmak için Microsoft Windows SDK'sını yükleyin.

Desteklenen üç izleme düzeyi vardır:

• Ayrıntılı (tüm kullanılabilir izlemeler).
• Bilgi (bilgi izleri).
• Hata (hata izi).

Aşağıdaki olaylar izlenir:

• Herhangi bir hata (Level=Error, Level=Info veya Level=Verbose).
• API'nin Girişi/Çıkışı (Level=Info veya Level=Verbose).
• Herhangi bir I/O'nun başlangıcı ve bitişi (Seviye=Info veya Seviye=Verbose)
• Exchanged SOAP iletileri (Level=Verbose, Windows 2003 SP1 ve sonraki sürümlerde kullanılabilir)

WWSAPI, Windows Vista ve üzeri sürümlerde bildirim tabanlı olayları kullanır. Sonuç olarak, izleme deneyimi işletim sistemi sürümüne göre bazı farklılıklara sahiptir. ETW izlemeleri oluşturmak, desteklenen tüm platformlarda yerleşik ETW araçları kullanılarak yapılabilir. Ancak ETW izlemelerini güzel bir biçimde görüntülemek için Windows XP SP2 ve Windows 2003 SP1'de özel araçlar gerekir. İşletim sistemi sürümüne bağlı olarak WWSAPI ETW olay izlemelerini toplamanın ve görüntülemenin birkaç farklı yolu vardır.

• Eventvwr.msc dosyasını komut satırından veya çalıştır menüsünden çalıştırın.
• Sağ taraftaki Eylemler bölmesindeki görünüm bağlantısına tıklayın ve Analiz ve Hata Ayıklama günlüklerini Göster seçeneğini etkinleştirin.
• Sol bölmede Uygulama ve Hizmet Günlükleri\Microsoft\Windows\WebServices sağlayıcıları'na göz atın.
• Tracing sağlayıcısına sağ tıklayın ve Günlüğü etkinleştir seçeneğini seçin.
• Senaryonuzu çalıştırın.
• Olay görüntüleyici sayfasını yenilediğinizde WWSAPI izleme girdilerini görmeye başlamanız gerekir.

wstrace.bat toplu iş dosyası aşağıdakiler için kullanışlı bir yol sağlar:

• İzleme günlüğü oluşturma
• İzleme günlüğünü silme
• İzlemeyi etkinleştirme ve devre dışı bırakma
• İzleme seviyesini güncelle (bilgi/hata/ayrıntılı)
• İzleme günlüklerini CSV dosyalarına dönüştürme

Toplu işlem dosyası, tüm komutlar için logman.exe kullanır, ancak günlükleri CSV dosyasına dönüştürmek için özel bir araç (wstracedump.exe) gereklidir.

Aşağıdaki komut bilgi, hata veya ayrıntılı düzeyi kullanan bir günlük oluşturur. Bu komut yükseltilmiş ayrıcalıklar gerektirir.

wstrace.bat oluştur [bilgi | hata | ayrıntılı]

Aşağıdaki komut günlüğü siler. Bu komut yükseltilmiş ayrıcalıklar gerektirir.

wstrace.bat silme

Aşağıdaki komut izlemeyi etkinleştirir. Önce bir günlük oluşturmanız gerekir.

'dawstrace.bat

İzleme seviyesi (bilgi, hata veya ayrıntılı) şu şekilde değiştirilebilir:

wstrace.bat güncelleştirme [bilgi | hata | ayrıntılı]

İzleme çıktılarını dökmek için aşağıdaki komutu kullanın:

wstrace.bat döküm > temp.csv

olaylar, Ctrl-C basılana veya izleme devre dışı bırakılana kadar CSV dosyasına bırakılır.

wstrace.bat tarafından oluşturulan CSV dosyaları, basit virgülle ayrılmış değişken metin dosyalarıdır. Bu dosyalar Excel, Not Defteri vb. içinde açılabilir.

Dosyanın sütunları aşağıdaki gibidir:

• TimeStamp - Olayın kaydedilişinin zaman damgası
• ProcessID - Olayı kaydeden işlemin ULONG kimliği
• ThreadID - Olayı kaydeden iş parçacığının ULONG Kimliği
• Olay - Olay türünün numaralandırılmış değeri ("api enter" | "api beklemede" | "api ExitSyncSuccess" | "api ExitSyncFailure" | "api ExitAsyncSuccess" | "api ExitAsyncFailure" | "io başlatıldı" | "io tamamlandı" | "io başarısız oldu" | "hata" | "alınan ileti başlangıcı" | "alınan ileti" | "alınan ileti durdu" | "ileti gönderme başlangıcı" | "ileti gönderme" | "ileti gönderme durdu")
• operation - Çağrılan işlemin adı. Bu genellikle çağrılan API'ye eşlenir.
• Hata - İsteğe bağlı HRESULT hata numarası
• Bilgi - Olay hakkında isteğe bağlı bilgiler

WWSAPI için ETW izlemeyi etkinleştirme

logman start wstrace -bs 64 -ft 1 -rt -p Microsoft-Windows-WebServices [flags [level]] [-o <EtlLogFileName>] -ets

ETW izleme oturumunu oluşturmak ve başlatmak için. Logman.exe, desteklenen tüm platformlarda kullanılabilen bir yerleşik ETW aracıdır. XPSP2 ve W2K3'te sağlayıcı adı olarak Microsoft_Windows_WebServices kullanmanız gerektiğini unutmayın. Kayıtlı sağlayıcıların listesini görmek için logman sorgu sağlayıcıları çalıştırabilirsiniz. Microsoft-Windows-WebServices (veya Microsoft_Windows_WebServices) sağlayıcı kayıtlı olmadığı sürece listelenmelidir. Sağlayıcı normalde kurulum sırasında kaydedilir. Ancak, wevtutil.exe im <ManifestFileName> (Windows Vista ve Sonraki sürümlerde) veya mofcomp.exe <MofFileName> (XPSP2 ve W2K3 üzerinde) çalıştırılarak da el ile kaydedilebilir.

Bayraklar, izleri türlerine göre filtrelemek için kullanılabilir. Aşağıdaki izleme türlerinin OR'd değeri olabilir. Sağlanmazsa, tüm izleme türleri etkinleştirilir.

• 0x1 - API girişi/çıkış izlemeleri.
• 0x2 - Hata izleri.
• 0x4 - G/Ç izlemeleri.
• 0x8 - SOAP mesajının izlenimleri.
• 0x10 - İkili ileti izlemeleri.

Düzey, izlemeleri düzeylerine göre filtrelemek için kullanılabilir. Aşağıdaki değerlerden biri olmalıdır. Sağlanmazsa, tüm izleme düzeyleri etkinleştirilir.

• 0x1 - Ölümcül izler.
• 0x2 - Hata izlemeleri.
• 0x3 - Uyarı izleri.
• 0x4 - Bilgilendirme izleri.
• 0x5 - Ayrıntılı izlemeler.

EtlLogFileName, oluşturulacak ETW olay günlüğü dosyasının yoludur (.etl uzantısını kullanın). Sağlanmadıysa, ETW daha sonra sorgulanabilecek rastgele bir ad seçer. Bu dosya kullanıcının profil dizininde yer almamalıdır. ETW olay günlüğü dosyası (.etl dosyası) ikili biçimdedir. ETW uygulamaları tarafından kullanılabilir, ancak insan tarafından okunabilir formatta değildir. Sonraki adım, içeriğinin nasıl görüntüleyebileceğinizi açıklar.

Senaryonuzu çalıştırma

ETW olay günlüğü dosyası toplanıyor.

logman stop wstrace -ets

ETW izleme oturumunu durdurmak için. ETW bu durumda olayları günlüğe kaydetmeyi durdurur. ETW olay günlüğü dosyası (EtlLogFileName parametresinde belirtilen) kullanılmaya hazır. Yerel olarak görüntülenebilir (yönergeler aşağıda verilmiştir) veya araştırma için ürün grubuna gönderilebilir.

ETW araçlarını kullanarak uçtan uca örnek:

logman start wstrace -bs 64 -ft 1 -rt -p Microsoft-Windows-WebServices -o mytrace.etl -ets

yankı.. senaryonuzu çalıştırın..

logman stop wstrace -ets

tracerpt mytrace.etl -o mytrace.xml

wstrace.htm

yankı .. açık sayfada mytrace.xml ve wstrace.xsl kullanın.

Wstracedump.exe, WWSAPI ETW izleme dosyasındaki olayları işleyen ve okunabilir çıktılar üreten özel geliştirilmiş bir ETW tüketici aracıdır. Desteklenen tüm platformlardan çıkış üretebilir. Daha fazla bilgi için kullanımına (wstracedump.exe -?) bakın.

Tracerpt.exe, ETW olay günlüğü dosyasının içeriğini görüntüleme aracıdır ve desteklenen tüm platformlarda kullanılabilir. BIR ETW olay günlüğü dosyasından CSV, EVTX veya XML döküm dosyaları oluşturmak için kullanılabilir. Ancak oluşturulan çıkış dosyasında yalnızca Windows Vista ve sonrasındaki sürümlerde okunabilir izler bulunur. Bu yönergelerde, XML döküm dosyasının nasıl oluşturulacağı ve izlemelerin güzel bir biçimde görüntülenmesi için bir xsl dosyasıyla birlikte nasıl kullanılacağı açıklanır (xsl dosyası çok önemsizdir ve farklı biçimler istenirse değiştirilebilir).

• Koş

  tracerpt <EtlLogFileName> -o <OutputXMLFileName>

  ikili ETL dosyasından xml dökümü oluşturmak için (tracerpt.exe çıktı dosyasını varsayılan olarak XML biçiminde oluşturur. tracerpt -? çalıştır Diğer kullanılabilir biçimleri görmek için).

• Bu noktada, IZLEME bilgilerini XML dosyasında görebilirsiniz. Ayrıca, wstrace.htm dosyasını açabilir ve izlemeleri daha güzel bir biçimde görmek için xml döküm dosyasını ve wstrace.xsl dosyasını kullanabilirsiniz. Bu html dosyasını IE'de kullanabilmek için dosyaların yerel makinede olması gerektiğini unutmayın.

İzlemeyi etkinleştirirken yöneticilerin ek disk alanı ve hesaplama gücü tükettiği dikkate alınmalıdır. İzleme ayarları makul sınırlarla yapılandırılmadığı sürece kötü amaçlı bir istemci veya uygulama sistem kaynaklarını tüketebilir. İleti izleme özelliği kullanılırken, kimlik bilgileri, kişisel bilgiler vb. gibi hassas bilgileri taşıyan iletiler diskte kalıcı olabilir veya sistem olay görüntüleyicisine erişimi olan herkes tarafından görüntülenebilir. Bu sorunu hafifletmek için izleme, Windows 2003 ve sonraki sürümlerde Sistem veya Yönetici kullanıcıları tarafından etkinleştirilebilir. İleti izleme, herhangi bir kullanıcının izlemeyi açabildiği Windows XP'de devre dışı bırakılır.

İzleme işlemi ile aşağıdaki numaralandırma kullanılır:

• WS_TRACE_API