Contrôle du suivi Winsock
Le suivi Winsock peut être contrôlé à l’aide de l’une des méthodes suivantes :
Outils de ligne de commande
Deux outils en ligne de commande sont inclus dans Windows Vista et Windows Server 2008, qui sont utilisés pour contrôler le suivi et convertir le fichier journal de suivi binaire en texte lisible.
L’outillogman.exe permet de démarrer ou d’arrêter le suivi Winsock.
L’outiltracerpt.exe permet de convertir le fichier journal de trace binaire en fichier texte lisible.
Observateur d'événements
Le observateur d'événements sur Windows Vista et versions ultérieures peut également être utilisé pour activer le suivi Winsock. Le observateur d'événements est accessible sous Outils d’administration à partir du menu Démarrer.
Utilisation de logman et de tracet
Le suivi des événements réseau Winsock est désactivé par défaut sur Windows Vista et versions ultérieures.
La commande suivante démarre le suivi des événements réseau Winsock sur un ordinateur, définit le nom de la session de trace d’événements sur mywinsocksession et envoie la sortie à un fichier journal binaire appelé winsocklogfile.etl :
logman start -ets mywinsocksession -o winsocklogfile.etl -p Microsoft-Windows-Winsock-AFD
Les fichiers journaux sont créés dans le répertoire actif avec des noms de fichiers au format winsocklogfile_000001.etl
La commande suivante arrête le suivi Winsock ci-dessus sur un ordinateur pour la session nommée mywinsocksession :
logman stop -ets mywinsocksession
Un fichier journal binaire sera écrit dans l’emplacement spécifié par le paramètre –o. Pour traduire le fichier binaire en fichier texte lisible, tracerpt.exe est utilisé :
<tracerpt.exe nom du fichier> .etl –o winsocktracelog.txt
Si un fichier de sortie contenant du xml plutôt que du texte brut est préférable, la commande suivante est utilisée :
<tracerpt.exe nom du fichier> .etl –o winsocktracelog.xml –of xml
Le suivi des modifications du catalogue Winsock est activé par défaut sur Windows Vista et versions ultérieures.
Notes
Les fournisseurs de services en couches sont dépréciés. À compter de Windows 8 et Windows Server 2012, utilisez la plateforme de filtrage Windows.
La commande suivante démarre le suivi des modifications du catalogue Winsock pour les fournisseurs de services en couches (LSP) sur un ordinateur, définit le nom de la session de suivi d’événements sur mywinsockcatalogsession et envoie la sortie à un fichier journal binaire appelé winsockcataloglogfile.etl :
logman start -ets mywinsockcatalogsession -o winsockcataloglogfile.etl -p Microsoft-Windows-Winsock-WS2HELP
Les fichiers journaux sont créés dans le répertoire actif avec les noms de fichiers au format winsockcataloglogfile_000001.etl
La commande suivante arrête le suivi Winsock ci-dessus sur un ordinateur pour la session nommée mysession :
logman stop -ets mywinsockcatalogsession
Un fichier journal binaire sera écrit dans l’emplacement spécifié par le paramètre –o. Pour traduire le fichier binaire en fichier texte lisible, tracerpt.exe est utilisé :
<tracerpt.exe nom du fichier> .etl –o winsockcatalogtracelog.txt
Si un fichier de sortie contenant du xml plutôt que du texte brut est préférable, la commande suivante est utilisée :
<tracerpt.exe nom du fichier> .etl –o winsockcatalogtracelog.xml –of xml
Utilisation de observateur d'événements pour démarrer le suivi d’événements réseau Winsock
Lorsque vous ouvrez observateur d'événements, le volet gauche contient la liste des événements. Ouvrez Les journaux des applications et des services , accédez à Événement réseau Microsoft\Windows\Winsock comme source, puis sélectionnez Opérationnel.
Dans le volet Action, sélectionnez Propriétés du journal et case activée la zone Activer la journalisation case activée. Une fois la journalisation activée, vous pouvez également modifier la taille du fichier journal si nécessaire.
Le suivi des événements réseau Winsock est désormais activé et il vous suffit d’atteindre l’action Actualiser pour mettre à jour la liste des événements qui ont été enregistrés. Pour arrêter la journalisation, décochez simplement la même case d’option.
Vous devrez peut-être augmenter la taille du journal en fonction du nombre d’événements que vous souhaitez voir. L’un des inconvénients de l’utilisation du observateur d'événements pour le suivi Winsock est qu’il ne charge pas toutes les ressources de chaîne, de sorte que les messages affichés dans le champ Description (une fois que vous avez sélectionné un événement) sont parfois difficiles à lire (un argument qui doit être mis en forme en hexadécimal sera affiché en décimal, par exemple). Toutefois, vous pouvez sélectionner l’onglet Détails dans la description de l’événement qui affiche l’entrée de journal XML brute qui a généralement des arguments plus faciles à comprendre.
Utilisation de observateur d'événements pour démarrer le suivi des modifications du catalogue Winsock
Lorsque vous ouvrez observateur d'événements, le volet gauche contient la liste des événements. Ouvrez les journaux des applications et des services et accédez à Microsoft\Windows\Winsock Catalog Modifier en tant que source, puis sélectionnez Opérationnel.
Dans le volet Action, sélectionnez Propriétés du journal et case activée la zone Activer la journalisation case activée. Une fois la journalisation activée, vous pouvez également modifier la taille du fichier journal si nécessaire.
Le suivi des modifications du catalogue Winsock est désormais activé et il vous suffit d’atteindre l’action Actualiser pour mettre à jour la liste des événements qui ont été enregistrés. Pour arrêter la journalisation, décochez simplement la même case d’option.
Vous devrez peut-être augmenter la taille du journal en fonction du nombre d’événements que vous souhaitez voir. L’un des inconvénients de l’utilisation du observateur d'événements pour le suivi Winsock est qu’il ne charge pas toutes les ressources de chaîne, de sorte que les messages affichés dans le champ Description (une fois que vous avez sélectionné un événement) sont parfois difficiles à lire (un argument qui doit être mis en forme en hexadécimal sera affiché en décimal, par exemple). Toutefois, vous pouvez sélectionner l’onglet Détails dans la description de l’événement qui affiche l’entrée de journal XML brute qui a généralement des arguments plus faciles à comprendre.
Interprétation des journaux de suivi Winsock
Tous les événements de suivi Winsock dans un journal contiennent deux types d’informations :
- Système
- EventData
Les informations système contiennent le niveau de journalisation, l’heure à laquelle l’entrée du journal a été créée, l’ID d’événement qui représente le type d’événement, l’ID de processus d’exécution, l’ID de thread d’exécution et d’autres informations système. Un niveau de journal de 4 dans le suivi Winsock représente la journalisation des événements d’informations. Un niveau de journal de 5 dans le suivi Winsock représente la journalisation des événements détaillée.
L’ID du processus d’exécution et l’ID de thread dans les informations système indiquent le processus et le thread en cours d’exécution lorsque l’événement s’est produit. Dans de nombreux cas, cela représente un noyau ou un thread de travail et un processus, et non un thread en mode utilisateur et le processus de l’application. Ce champ n’est donc normalement pas très utile.
Chaque type d’événement de suivi Winsock a un ID d’événement unique dans la section système des données journalisées. Ces ID d’événement peuvent facilement être utilisés pour filtrer un fichier journal pour des événements de suivi Winsock spécifiques.
Eventdata contient des informations spécifiques au type d’événement.
Le paramètre Process dans les informations eventdata est l’adresse de structure EPROCESS du noyau pour le processus, et non le PID réel. Pour faire correspondre un événement au PID en mode utilisateur, prenez la valeur Process à partir des informations eventdata de n’importe quelle entrée de journal et recherchez plus haut dans le journal un événement de création de socket avec la valeur Process. Une fois qu’une correspondance est trouvée, le dernier paramètre dans les données d’événement de création de socket est l’ID de processus en mode utilisateur qui a créé le socket.
Un paramètre Address dans les informations eventdata est retourné dans certains événements de suivi Winsock. Un paramètre Address représente une adresse IP, mais il s’affiche dans le fichier texte créé par l’outiltracerpt.exe ou dans observateur d'événements sous forme d’octets bruts ou d’un nombre. Les adresses IPv6 sont affichées en hexadécimal, de sorte qu’elles sont plus faciles à comprendre. Les adresses IPv4 sont affichées sous la forme d’un grand nombre décimal. Les développeurs devront convertir manuellement les octets bruts d’une adresse IPv4 en notation d’adresse décimale IPv4 plus familière pour mieux interpréter la valeur.
Un paramètre Error dans eventdata est retourné dans certains événements de suivi Winsock. Un paramètre Error est sous la forme d’un code d’erreur NTSTATUS ou HRESULT. Ce paramètre d’erreur s’affiche dans le fichier texte créé par l’outiltracerpt.exe ou dans observateur d'événements sous forme de nombre décimal. Les développeurs devront convertir manuellement le nombre décimal en nombre hexadécimal afin de mieux interpréter le code d’erreur dans certains cas.
Rubriques connexes