Udostępnij za pośrednictwem

Śledzenie aktywności WMI

  • Artykuł

Począwszy od systemu Windows Vista, usługa WMI nie używa WMI Log Files. Zamiast tego używa Śledzenie Zdarzeń w Windows (ETW) i zdarzenia są dostępne za pośrednictwem Podgląd Zdarzeń lub narzędzia wiersza polecenia Wevtutil.

W tym temacie omówiono następujące sekcje:

Uzyskiwanie zdarzeń WMI za pośrednictwem Podglądu zdarzeń

Plik WMITracing.log zawiera zdarzenia, które śledzi WMI. Jest to jednak plik binarny. Aby wyświetlić te zdarzenia w formacie czytelnym dla ludzi, użyj podglądu zdarzeń .

Domyślnie zdarzenia WMI nie są śledzone. W tej procedurze opisano sposób użycia Podglądu zdarzeń do włączenia śledzenia zdarzeń WMI i lokalizowania zdarzeń WMI. Te same operacje można wykonać za pomocą narzędzia wiersza polecenia wevtutil.

Aby wyświetlić zdarzenia usługi WMI w podglądzie zdarzeń

  1. Otwórz podgląd zdarzeń . W menu Widok kliknij pozycję Pokaż dzienniki analityczne i debugowania. Znajdź dziennik śledzenia kanału dla usługi WMI w obszarze Dzienniki aplikacji i usług | Microsoft | Windows | Działanie usługi WMI.
  2. Kliknij prawym przyciskiem myszy dziennik śledzenia i wybierz Właściwości dziennika . Kliknij pole wyboru Włącz Rejestrowanie, aby uruchomić śledzenie zdarzeń usługi WMI. Aby uzyskać więcej informacji na temat kanałów, zobacz Dzienniki zdarzeń i kanały w dzienniku zdarzeń systemu Windows.
  3. Zdarzenia usługi WMI są wyświetlane w oknie zdarzeń dla WMI-Activity. Kliknij dwukrotnie zdarzenie na liście, aby wyświetlić szczegółowe informacje. Zdarzenie można wyświetlić w widoku XML lub w formacie Przyjazny widok.

Pole Identyfikator zdarzenia zawiera wartość zawierającą następujące informacje.

zdarzenie 1

Początek sekwencji zdarzeń dla określonej operacji. Jedno wystąpienie dla każdej sekwencji.

Pola zdarzeń dla zdarzenia 1 to:

  • GroupOperationID jest unikatowym identyfikatorem używanym dla wszystkich zdarzeń zgłoszonych dla określonego klienta.
  • OperationId wskazuje sekwencję operacji.
  • Operacja określa połączenie lub żądanie do usługi WMI.
  • użytkownik wskazuje konto, które wysyła żądanie do usługi WMI, uruchamiając skrypt lub za pośrednictwem programu CIM Studio.
  • przestrzeń nazw pokazuje przestrzeń nazw usługi WMI, do której jest nawiązane połączenie.

Na przykład skrypt może zażądać wszystkich wystąpień klasy WMI, takich jak Win32_Service. Pierwszą operacją może być połączenie z usługą WMI.

zdarzenie 2

Zdarzenia tworzące operację. Co najmniej jedno wystąpienie w sekwencji.

Pola zdarzeń dla zdarzenia 2 to:

  • GroupOperationID wskazuje sekwencję, w której występuje zdarzenie.
  • GroupOperationID wskazuje sekwencję, w której występuje zdarzenie.
  • ProviderName wskazuje nazwę dostawcy, który dostarcza dane.
  • Ścieżka to ścieżka WMI do obiektu.

Na przykład operacja może być wyliczeniem Win32_Service.

zdarzenie 3

Koniec sekwencji zdarzeń dla określonej operacji. Jedno wystąpienie dla każdej sekwencji.

Wyświetlane są tylko GroupOperationID.

Włączanie śledzenia WMI w wierszu poleceń

Śledzenie zdarzeń usługi WMI można również włączyć za pomocą narzędzia wiersza polecenia Wevtutil. Użyj następującego polecenia: Wevtutil.exe sl Microsoft-Windows-WMI-Activity/Trace /e:true. Źródłem zdarzeń usługi WMI jest Microsoft-Windows-WMI. Aby uzyskać więcej informacji o Wevtutil.exe, zobacz Informacje o dzienniku zdarzeń systemu Windows.

Korzystanie z śledzenia WMI opartego na programie WPP

W systemach operacyjnych Windows począwszy od systemu Windows Vista usługa WMI tworzy aktywny kanał śledzenia podczas procesu rozruchu. Nazwa kanału to WMI_Trace_Session. Tylko błędy są rejestrowane w kanale.

Preprocesor śledzenia oprogramowania systemu Windows (WPP) rejestruje informacje w pliku binarnym. Aby odczytać plik, należy najpierw przetłumaczyć go na czytelny format tekstu. Aby wykonać tłumaczenie, należy użyć narzędzia o nazwie tracefmt.exe z zestawu Windows Driver Kit (WDK). Narzędzie wymaga informacji przechowywanych w niektórych skojarzonych plikach. Pliki znajdują się w katalogu %SystemRoot%\System32\wbem\tmf i mają rozszerzenie nazwy pliku tmf. Narzędzie faktycznie wymaga pojedynczego pliku .tmf. Utwórz ten pojedynczy plik, łącząc wszystkie pliki tmf z innym plikiem tmf. Aby uzyskać więcej informacji na temat plików .tmf, zobacz Trace Message Format File.

Po zainstalowaniu zestawu Windows Driver Kit (WDK) w celu pobrania tracelog.exe i tracefmt.exe narzędzi wiersza polecenia wykonaj następujące kroki, aby zebrać ślad WMI oparty na programie WPP.

Aby wyświetlić ślad WMI oparty na WPP

  1. Aby utworzyć pojedynczy plik .tmf, otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień i przejdź do katalogu %SystemRoot%\System32\wbem\tmf.

  2. Wpisz copy /y %SystemRoot%\System32\wbem\tmf\*.tmf %SystemRoot%\System32\wbem\tmf\wmi.tmf. Spowoduje to utworzenie pliku o nazwie wmi.tmf zawierającego zawartość wszystkich innych plików .tmf.

  3. Wpisz tracelog -flush WMI_Trace_Session. Spowoduje to opróżnienie buforów WPP na dysku.

  4. Wpisz ustaw TRACE_FORMAT_PREFIX = [%9!d!]%8!04X!.%3!04X!.%3!04X!::%4!s! [%1!s!](%!COMPNAME!:%!FUNC!:%2!s!). Narzędzie tracefmt dodaje pewne domyślne informacje do każdego komunikatu śledzenia. Możesz skonfigurować informacje zawarte przez ustawienie zmiennej środowiskowej TRACE_FORMAT_PREFIX. Aby dowiedzieć się więcej o używanej składni, zobacz prefiks komunikatu śledzenia.

  5. Wpisz tracefmt -tmf %systemroot%\system32\wbem\tmf\wmi.tmf -o OUTPUT.TXT %systemroot%\system32\wbem\logs\WMITracing.log. Wykonuje tłumaczenie z formatu binarnego na czytelny format tekstu.

  6. Wpisz notatnik %systemroot%\system32\wbem\tmf\OUTPUT.TXT. Spowoduje to otwarcie pliku śledzenia w Notatniku.

Poniżej przedstawiono inne zadania związane z programem WPP, które mogą być konieczne do wykonania.

Aby zatrzymać śledzenie WMI oparte na programie WPP

  • Wpisz tracelog -stop WMI_Trace_Session.

Aby rozpocząć śledzenie WMI oparte na programie WPP

  • Wpisz tracelog -start WMI_Trace_Session -guid #1FF6B227-2CA7-40f9-9A66-980EADAA602E -rt -level 5 -flag 0x7 -f MYTRACE.BIN

Windows Vista: Domyślnie śledzenie WMI oparte na programie WPP jest ustawione na poziom 2, który zawiera tylko komunikaty o błędach. Aby uwzględnić również komunikaty informacyjne, ustaw poziom na 4. Wszystkie obszary usługi WMI są domyślnie śledzone. Istnieją trzy odrębne obszary, które można prześledzić: Core (flaga=0x1), ESS (flaga=0x2) i Prov (flaga=0x4). W powyższym poleceniu uruchamiania flaga 0x7 powoduje śledzenie wszystkich trzech obszarów.

Windows 7: Domyślnie śledzenie WMI oparte na programie WPP jest wyłączone i ustawione na poziom 0. Aby można było używać śledzenia WMI opartego na programie WPP, ta funkcja musi być włączona i ustawiona na poziom 2 dla komunikatów o błędach lub poziomu 4 dla komunikatów o błędach i komunikatach informacyjnych.

Aby wyświetlić listę wszystkich sesji śledzenia WPP

  • Wpisz tracelog -l.

Aby wyświetlić informacje o sesji śledzenia programu WMI WPP

  • Wpisz tracelog -l | findstr /i "wmi_trace".

Aby wyświetlić parametry sesji śledzenia WMI WPP

  • Wpisz tracelog -q WMI_Trace_Session.

Rozwiązywanie problemów z WMI

Pliki dziennika WMI