Поделиться через

Отслеживание действия WMI

  • Статья

Начиная с Windows Vista служба WMI не использует файлы журналов WMI. Вместо этого используется Event Tracing for Windows (ETW), а события доступны через средство просмотра событий или командную строку Wevtutil.

В этом разделе рассматриваются следующие разделы:

Получение событий WMI с помощью средства просмотра событий

Файл WMITracing.log содержит события, которые отслеживаются WMI. Однако это двоичный файл. Чтобы увидеть эти события в формате, доступном для чтения людьми, используйте средство просмотра событий.

По умолчанию события WMI не трассируются. В этой процедуре описывается использование средства просмотра событий для включения трассировки событий WMI и поиска событий WMI. Эти же операции можно выполнять с помощью средства командной строки wevtutil.

Просмотр событий WMI в средстве просмотра событий

  1. Откройте средства просмотра событий. В меню Вид щелкните Показать аналитические и отладочные журналы. Найдите журнал канала трассировки для WMI в разделе "Приложения и журналы служб" | Microsoft | Windows | Активность WMI.
  2. Щелкните правой кнопкой мыши журнал трассировки и выберите Свойства журнала. Установите флажок Включить ведение журнала, чтобы запустить трассировку событий WMI. Дополнительные сведения о каналах см. в журналах событий и каналах в журнале событий Windows.
  3. События WMI отображаются в окне событий для WMI-Activity. Дважды щелкните событие в списке, чтобы просмотреть подробные сведения. Событие можно просмотреть в представлении XML или в формате Понятное представление.

В поле для идентификатора события отображается значение, которое содержит следующую информацию.

Событие 1

Начало последовательности событий для определенной операции. Одно вхождение для каждой последовательности.

Поля событий для события 1:

  • GroupOperationID — уникальный идентификатор, используемый для всех событий, сообщающихся для конкретного клиента.
  • OperationId указывает последовательность операций.
  • операция указывает на подключение или запрос к WMI.
  • пользователь указывает учетную запись, которая отправляет запрос в WMI путем выполнения скрипта или с помощью CIM Studio.
  • пространство имен обозначает пространство имен WMI, к которому подключаются.

Например, скрипт может запрашивать все экземпляры класса WMI, например Win32_Service. Первая операция может быть подключением к WMI.

событие 2

События, составляющие операцию. Одно или несколько вхождений в последовательности.

Поля событий для события 2:

  • GroupOperationID указывает последовательность, в которой происходит событие.
  • GroupOperationID указывает последовательность, в которой происходит событие.
  • ProviderName указывает имя поставщика, который предоставляет данные.
  • путь — это путь WMI к объекту.

Например, операция может представлять собой список Win32_Service.

событие 3

Конец последовательности событий для определенной операции. Одно вхождение для каждой последовательности.

Отображается только GroupOperationID.

Включение трассировки WMI в командной строке

Вы также можете включить трассировку событий WMI с помощью средства командной строки Wevtutil. Используйте следующую команду: Wevtutil.exe sl Microsoft-Windows-WMI-Activity/Trace /e:true. Источник событий WMI — Microsoft-Windows-WMI. Чтобы получить дополнительную информацию о Wevtutil.exe, см. раздел "О журнале событий Windows".

Использование трассировки WMI на основе WPP

В операционных системах Windows, начиная с Windows Vista, WMI создает активный канал трассировки во время загрузки. Имя канала — WMI_Trace_Session. В канал записываются только ошибки.

Препроцессор трассировки программного обеспечения Windows (WPP) записывает сведения в двоичном файле. Чтобы прочитать файл, необходимо сначала перевести его в доступный для чтения текстовый формат. Для перевода используется средство с именем tracefmt.exe из комплекта драйверов Windows (WDK). Для этого средства требуются сведения, хранящиеся в некоторых связанных файлах. Файлы находятся в каталоге %SystemRoot%\System32\wbem\tmf и имеют расширение tmf-файла. Для этого средства требуется один файл .tmf. Вы создаёте один общий файл объединением всех файлов .tmf в единый .tmf-файл. Дополнительные сведения о файлах .tmf см. в файле формата трассировочных сообщений.

После установки комплекта драйверов Windows (WDK) , чтобы получить командные инструменты tracelog.exe и tracefmt.exe, выполните следующие действия для сбора WMI-трассировки на основе WPP.

Чтобы просмотреть трассировки WMI на основе WPP

  1. Чтобы создать один файл .tmf, откройте окно командной строки с повышенными привилегиями и перейдите к каталогу %SystemRoot%\System32\wbem\tmf.

  2. Введите copy /y %SystemRoot%\System32\wbem\tmf\*.tmf %SystemRoot%\System32\wbem\tmf\wmi.tmf. При этом будет создан файл с именем wmi.tmf, содержащий содержимое всех других файлов TMF.

  3. Тип tracelog -flush WMI_Trace_Session. Это приведет к очистке буферов WPP на диске.

  4. Тип set TRACE_FORMAT_PREFIX = [%9!d!]%8!04X!.%3!04X!.%3!04X!::%4!s! [%1!s!](%!COMPNAME!:%!FUNC!:%2!s!). Средство tracefmt добавляет некоторые сведения по умолчанию в каждое сообщение трассировки. Вы можете настроить, какие сведения включены, установив переменную среды TRACE_FORMAT_PREFIX. Сведения об используемом синтаксисе см. в разделе Префикс сообщения трассировки.

  5. Введите tracefmt -tmf %systemroot%\system32\wbem\tmf\wmi.tmf -o OUTPUT.TXT %systemroot%\system32\wbem\logs\WMITracing.log. Это выполняет перевод из двоичного формата в доступный для чтения текстовый формат.

  6. Введите блокнот %systemroot%\system32\wbem\tmf\OUTPUT.TXT. Откроется файл трассировки в Блокноте.

Ниже приведены некоторые другие задачи, связанные с WPP, которые могут потребоваться выполнить.

Чтобы остановить трассировку WMI на основе WPP

  • Тип трассировки -stop WMI_Trace_Session.

Для запуска трассировки WMI на основе WPP

  • Тип трассировки -start WMI_Trace_Session -guid #1FF6B227-2CA7-40f9-9A66-980EADAA602E -rt -level 5 -flag 0x7 -f MYTRACE.BIN

Windows Vista: По умолчанию трассировка WMI на основе WPP имеет уровень 2, который включает только сообщения об ошибках. Чтобы включить информационные сообщения, задайте уровень 4. Все области WMI отслеживаются по умолчанию. Существует три отдельных области, которые можно отслеживать: Core (flag=0x1), ESS (flag=0x2) и Prov (flag=0x4). В команде запуска, представленной выше, флаг 0x7 вызывает трассировку всех трех областей.

Windows 7: По умолчанию трассировка WMI на основе WPP отключена и установлена на уровне 0. Чтобы использовать трассировку WMI на основе WPP, эту функцию нужно включить и установить на уровне 2 для сообщений об ошибках или на уровне 4 как для сообщений об ошибках, так и для информационных сообщений.

Перечисление всех сеансов трассировки WPP

  • Тип tracelog -l.

Перечисление сведений о сеансе трассировки WMI WPP

  • Тип трассировки -l | findstr /i "wmi_trace".

Просмотр параметров сеанса трассировки WMI WPP

  • Тип трассировки -q WMI_Trace_Session.

Устранение проблем WMI

файлы журналов WMI