Delen via

Aan de slag met Setup en Boot Event Collection

Overview

Setup en Boot Event Collection is een nieuwe functie in Windows Server 2016 waarmee u een collectorcomputer kunt aanwijzen die een verscheidenheid aan belangrijke gebeurtenissen kan verzamelen die op andere computers optreden wanneer ze opstarten of het installatieproces doorlopen. Vervolgens kunt u de verzamelde gebeurtenissen analyseren met Logboekviewer, Message Analyzer, Wevtutil of Windows PowerShell-cmdlets.

Voorheen zijn deze gebeurtenissen onmogelijk te bewaken omdat de infrastructuur die nodig is om ze te verzamelen niet bestaat totdat een computer al is ingesteld. De soorten installatie- en opstartactiviteiten die u kunt bewaken, zijn onder andere:

  • Laden van kernelmodules en stuurprogramma 's

  • Opsomming van apparaten en initialisatie van hun stuurprogramma's (inclusief apparaten zoals CPU-type)

  • Verificatie en aansluiten van bestandssystemen

  • Het starten van de uitvoerbare bestanden

  • Begin- en voltooiingen van systeemupdates

  • De punten waarop het systeem beschikbaar is voor aanmelding, maakt verbinding met een domeincontroller, voltooiing van de service wordt gestart en de beschikbaarheid van netwerkshares

Op de collectorcomputer moet Windows Server 2016 worden uitgevoerd (deze kan zich in de modus Server met Bureaubladervaring of Server Core bevinden). Op de doelcomputer moet Windows 10 of Windows Server 2016 worden uitgevoerd. U kunt deze service ook uitvoeren op een virtuele machine die wordt gehost op een computer waarop Windows Server 2016 niet wordt uitgevoerd. De volgende combinaties van gevirtualiseerde verzamel- en doelcomputers zijn bekend om goed te werken.

Virtualisatiehost Verzamel-virtuele machine Virtuele doelmachine.
Windows 8.1 yes yes
Windows 10 yes yes
Windows Server 2016 yes yes
Windows Server 2012 R2 yes no

De collector-service installeren

Vanaf Windows Server 2016 is de gebeurtenisverzamelaarservice beschikbaar als een optionele functie. In deze release kunt u deze installeren met behulp van DISM.exe met deze opdracht via een Windows PowerShell-prompt met verhoogde bevoegdheid:

dism /online /enable-feature /featurename:SetupAndBootEventCollection

Met deze opdracht maakt u een service met de naam BootEventCollector en start deze met een leeg configuratiebestand.

Controleer of de installatie is geslaagd door get-service -displayname *boot*te controleren. De opstart gebeurtenisverzamelaar moet worden uitgevoerd. Het wordt uitgevoerd onder het netwerkserviceaccount en maakt een leeg configuratiebestand (Active.xml) in %SystemDrive%\ProgramData\Microsoft\BootEventCollector\Config.

U kunt de Setup en Boot Event Collection-service ook installeren met de wizard "Rollen en Functies toevoegen" in Server Manager.

Configuration

U moet twee items configureren voor het verzamelen van installatie- en opstartevenementen.

  • Schakel op de doelcomputers die de gebeurtenissen verzenden (dat wil weten de computers waarvan u de installatie en het opstarten wilt bewaken), het KDNET/EVENT-NET transport in en schakel het doorsturen van gebeurtenissen in.

  • Geef op de collectorcomputer op van welke computers gebeurtenissen moeten worden geaccepteerd en waar ze moeten worden opgeslagen.

Note

U kunt een computer niet configureren om de opstart- of startgebeurtenissen naar zichzelf te verzenden. Maar als u twee computers wilt bewaken, kunt u deze configureren om de gebeurtenissen naar elkaar te verzenden.

Een doelcomputer configureren

Op elke doelcomputer schakelt u eerst het KDNET/EVENT-NET transport in, schakelt u het verzenden van ETW-gebeurtenissen via het transport in en start u de doelcomputer opnieuw op. EVENT-NET is een in-kernel transportprotocol dat vergelijkbaar is met KDNET (het kernel debugger-protocol). EVENT-NET verzendt alleen gebeurtenissen en staat geen toegang tot foutopsporingsprogramma's toe. Deze twee protocollen sluiten elkaar wederzijds uit; u kunt slechts één van deze tegelijk inschakelen.

U kunt gebeurtenistransport op afstand (met Windows PowerShell) of lokaal inschakelen.

Gebeurtenistransport op afstand inschakelen

  1. Als u Windows PowerShell Remoting al hebt ingesteld op de doelcomputer, gaat u verder met stap 3. Als dat niet zo is, opent u een opdrachtprompt op de doelcomputer en voert u de volgende opdracht uit:

    winrm quickconfig

  2. Reageer op de aanwijzingen en start de doelcomputer opnieuw op. Als de doelcomputers zich niet in hetzelfde domein bevinden als de collectorcomputer, moet u deze mogelijk definiëren als vertrouwde hosts. Dit doet u als volgt:

  3. Voer een van de volgende opdrachten uit op de collectorcomputer:

    • In een Windows PowerShell-prompt: Set-Item -Force WSMan:\localhost\Client\TrustedHosts <target1>,<target2>,..., gevolgd door Set-Item -Force WSMan:\localhost\Client\AllowUnencrypted true waar <target1>, enzovoort de namen of IP-adressen van de doelcomputers zijn.

    • Of in een opdrachtprompt: winrm set winrm/config/client @{TrustedHosts=<target1>,<target2>,...; AllowUnencrypted=true}

      Important

      Hiermee stelt u niet-versleutelde communicatie in, dus doe dit niet buiten een testomgeving.

  4. Test de externe verbinding door naar de collectorcomputer te gaan en een van deze Windows PowerShell-opdrachten uit te voeren:

    Als de doelcomputer zich in hetzelfde domein bevindt als de collectorcomputer, voert u New-PSSession -Computer <target> | Remove-PSSession

    Als de doelcomputer zich niet in hetzelfde domein bevindt, voert u New-PSSession -Computer <target> -Credential Administrator | Remove-PSSessionuit, waarmee u om referenties wordt gevraagd.

    Als de opdracht niets retourneert, is externe communicatie geslaagd.

  5. Open op de doelcomputer een Windows PowerShell-prompt met verhoogde bevoegdheid en voer deze opdracht uit:

    Enable-SbecBcd -ComputerName <target_name> -CollectorIP <ip> -CollectorPort <port> -Key <a.b.c.d>

    Hier <target_name> de naam van de doelcomputer is, <IP-> het IP-adres van de collectorcomputer is. <poort> is het poortnummer waarop de collector draait. De sleutel <a.b.c.d> is een vereiste versleutelingssleutel voor de communicatie, bestaande uit vier alfanumerieke tekenreeksen gescheiden door puntjes. Dezelfde sleutel wordt gebruikt op de collectorcomputer. Als u geen sleutel invoert, genereert het systeem een willekeurige sleutel; U hebt dit nodig voor de collectorcomputer, dus noteer deze.

  6. Als u al een collectorcomputer hebt ingesteld, werkt u het configuratiebestand op de collectorcomputer bij met de informatie voor de nieuwe doelcomputer. Zie de sectie De collectorcomputer configureren voor meer informatie.

Gebeurtenistransport lokaal op de doelcomputer inschakelen

  1. Start een opdrachtprompt met verhoogde bevoegdheid en voer deze opdrachten uit:

    bcdedit /event ja

    bcdedit /eventsettings net hostip:1.2.3.4 poort:50000 sleutel:a.b.c.d

    Hier is 1.2.3.4 een voorbeeld; vervang dit door het IP-adres van de collectorcomputer. Vervang ook 50000 door het poortnummer waar de collector wordt uitgevoerd en a.b.c.d door de vereiste versleutelingssleutel voor de communicatie. Dezelfde sleutel wordt gebruikt op de collectorcomputer. Als u geen sleutel invoert, genereert het systeem een willekeurige sleutel; U hebt dit nodig voor de collectorcomputer, dus noteer deze.

  2. Als u al een collectorcomputer hebt ingesteld, werkt u het configuratiebestand op de collectorcomputer bij met de informatie voor de nieuwe doelcomputer. Zie de sectie De collectorcomputer configureren voor meer informatie.

Nu het transport van gebeurtenissen zelf is ingeschakeld, moet u het systeem inschakelen om ETW-gebeurtenissen daadwerkelijk via dat transport te verzenden.

Het verzenden van ETW-gebeurtenissen via het transport op afstand mogelijk maken

  1. Open op de collectorcomputer een Windows PowerShell-prompt met verhoogde bevoegdheid.

  2. Voer Enable-SbecAutologger -ComputerName <target_name>uit, waarbij <target_name> de naam van de doelcomputer is.

Als u Windows PowerShell Remoting niet kunt instellen, kunt u het verzenden van gebeurtenissen altijd rechtstreeks op de doelcomputer inschakelen.

Het verzenden van ETW-gebeurtenissen via het transport lokaal inschakelen

  1. Start Regedit.exe op de doelcomputer en zoek deze registersleutel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\AutoLogger. Verschillende logboeksessies worden vermeld als subsleutels onder deze sleutel. Setup Platform, NT Kernel Logger en Microsoft-Windows-Setup zijn mogelijke keuzes voor gebruik met Setup en Boot Event Collection, maar de aanbevolen optie is EventLog-System. Deze sleutels worden beschreven in Een AutoLogger-sessie configureren en starten.

  2. Wijzig in de EventLog-System sleutel de waarde van LogFileMode van 0x10000180 in 0x10080180. Zie Logboekregistratiemodusconstantenvoor meer informatie over de details van deze instellingen.

  3. U kunt ook het doorsturen van foutcontrolegegevens naar de collectorcomputer inschakelen. Hiervoor zoekt u de registersleutel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager en maakt u de sleutel Debug printfilter met een waarde van 0x1.

  4. Start de doelcomputer opnieuw op.

De netwerkadapter kiezen

Als de doelcomputer meer dan één netwerkadapter heeft, kiest het KDNET-stuurprogramma het eerste ondersteunde stuurprogramma. U kunt een bepaalde netwerkadapter opgeven die moet worden gebruikt voor het doorsturen van installatie-gebeurtenissen met de volgende stappen:

Een netwerkadapter opgeven

  1. Open Apparaatbeheer op de doelcomputer, vouw Netwerkadapters uit, zoek de netwerkadapter die u wilt gebruiken en klik er met de rechtermuisknop op.

  2. Klik in het menu dat wordt geopend op Eigenschappen en klik vervolgens op het tabblad Details . Vouw het menu in het veld Eigenschap uit, blader naar locatiegegevens (de lijst staat waarschijnlijk niet in alfabetische volgorde) en klik erop. De waarde is een tekenreeks van het formulier PCI bus X, apparaat Y, functie Z. Noteer X.Y.Z; dit zijn de busparameters die u nodig hebt voor de volgende opdracht.

  3. Voer een van deze opdrachten uit:

    Vanuit een Windows PowerShell-prompt met verhoogde bevoegdheid: Enable-SbecBcd -ComputerName <target_name> -CollectorIP <ip> -CollectorPort <port> -Key <a.b.c.d> -BusParams <X.Y.Z>

    Vanaf een opdrachtprompt met verhoogde bevoegdheid: bcdedit /eventsettings net hostip:aaa port:50000 key:bbb busparams:X.Y.Z

Configuratie van doelcomputer valideren

Als u de instellingen op de doelcomputer wilt controleren, opent u een opdrachtprompt met verhoogde bevoegdheid en voert u bcdedit /enum uit. Wanneer dit is voltooid, voert u bcdedit /eventsettings uit. U kunt de volgende waarden controleren:

  • Key

  • Debuginstellingstype = NET

  • Hostip = <IP-adres van de collector>

  • Poort = <poortnummer dat u hebt opgegeven voor de collector om> te gebruiken

  • DHCP = ja

Controleer ook of u bcdedit /event hebt ingeschakeld, omdat /debug en /event elkaar wederzijds uitsluiten. U kunt slechts één of de andere uitvoeren. Op dezelfde manier kunt u /eventsettings niet combineren met /debug of /dbgsettings met /event.

Houd er ook rekening mee dat het verzamelen van gebeurtenissen niet werkt als u deze instelt op een seriële poort.

De collectorcomputer configureren

De collectorservice ontvangt de gebeurtenissen en slaat deze op in ETL-bestanden. Deze ETL-bestanden kunnen vervolgens worden gelezen door andere hulpprogramma's, zoals Logboek, Message Analyzer, Wevtutil en Windows PowerShell-cmdlets.

Omdat de ETW-indeling niet toestaat dat u de naam van de doelcomputer opgeeft, moeten de gebeurtenissen voor elke doelcomputer worden opgeslagen in een afzonderlijk bestand. De weergavehulpprogramma's kunnen een computernaam weergeven, maar dit is de naam van de computer waarop het hulpprogramma wordt uitgevoerd.

Aan elke doelcomputer wordt precies een ring ETL-bestanden toegewezen. Elke bestandsnaam bevat een index van 000 tot een maximumwaarde die u configureert (maximaal 999). Wanneer het bestand de maximale geconfigureerde grootte bereikt, schakelt het schrijfgebeurtenissen over naar het volgende bestand. Na het hoogst mogelijke bestand schakelt het terug naar bestandsindex 000. Op deze manier worden de bestanden automatisch gerecycled, waardoor het gebruik van schijfruimte wordt beperkt. U kunt ook extra extern bewaarbeleid instellen om het schijfgebruik verder te beperken; U kunt bijvoorbeeld bestanden verwijderen die ouder zijn dan een bepaald aantal dagen.

Verzamelde ETL-bestanden worden doorgaans bewaard in de map c:\ProgramData\Microsoft\BootEventCollector\Etl (die mogelijk extra submappen bevat). U vindt het meest recente logboekbestand door ze te sorteren op de laatste wijzigingstijd. Er is ook een statuslogboek (meestal in c:\ProgramData\Microsoft\BootEventCollector\Logs), dat wordt geregistreerd wanneer de collector overschakelt naar een nieuw bestand.

Er is ook een collectorlogboek, dat informatie over de collector zelf registreert. U kunt dit logboek in de ETW-indeling bewaren (waarin gebeurtenissen worden gerapporteerd aan de Windows-logboekservice; dit is de standaardinstelling) of in een bestand (normaal gesproken in c:\ProgramData\Microsoft\BootEventCollector\Logs). Het gebruik van een bestand kan handig zijn als u uitgebreide modi wilt inschakelen die veel gegevens produceren. U kunt het logboek ook instellen om naar een standaarduitvoer te schrijven door de collector via de opdrachtregel uit te voeren.

Het configuratiebestand voor de collector maken

Wanneer u de service inschakelt, worden er drie XML-configuratiebestanden gemaakt en opgeslagen in c:\ProgramData\Microsoft\BootEventCollector\Config:

  • Active.xml Dit bestand bevat de huidige actieve configuratie van de collectorservice. Direct na de installatie heeft dit bestand dezelfde inhoud als Empty.xml. Wanneer u een nieuwe collectorconfiguratie instelt, slaat u deze op in dit bestand.

  • Empty.xml Dit bestand bevat de minimale configuratie-elementen die nodig zijn met hun standaardwaardenset. Er wordt geen verzameling van gegevens ingeschakeld; hiermee kan de collectorservice alleen in een inactieve modus starten.

  • Example.xml Dit bestand bevat voorbeelden en uitleg van de mogelijke configuratie-elementen.

een maximale bestandsgrootte kiezen

Een van de beslissingen die u moet nemen, is het instellen van een maximale bestandsgrootte. De maximale bestandsgrootte is afhankelijk van het verwachte aantal gebeurtenissen en de beschikbare schijfruimte. Kleinere bestanden zijn handiger vanuit het oogpunt van het opschonen van de oude gegevens. Elk bestand draagt er echter de overhead van een header van 64 kB bij en het lezen van veel bestanden om de gecombineerde geschiedenis op te halen, kan lastig zijn. De absolute minimale bestandsgrootte is 256 kB. Een redelijke praktische bestandsgroottelimiet moet groter zijn dan 1 MB en 10 MB is waarschijnlijk een goede typische waarde. Een hogere limiet kan redelijk zijn als u veel gebeurtenissen verwacht.

Er zijn verschillende details om rekening mee te houden met betrekking tot het configuratiebestand:

  • Het adres van de doelcomputer. U kunt het IPv4-adres, een MAC-adres of een SMBIOS-GUID gebruiken. Houd rekening met deze factoren bij het kiezen van het adres dat u wilt gebruiken:

    • Het IPv4-adres werkt het beste met statische toewijzing van de IP-adressen. Zelfs statische IP-adressen moeten echter beschikbaar zijn via DHCP.

    • Een MAC-adres of SMBIOS-GUID is handig wanneer ze van tevoren bekend zijn, maar de IP-adressen dynamisch worden toegewezen.

    • IPv6-adressen worden niet ondersteund door het EVENT-NET-protocol.

    • Het is mogelijk om meerdere manieren op te geven om de computer te identificeren. Als de fysieke hardware bijvoorbeeld op het punt staat te worden vervangen, kunt u zowel de oude als de nieuwe MAC-adressen invoeren en beide worden geaccepteerd.

  • De versleutelingssleutel die wordt gebruikt voor de communicatie met de collectorcomputer

  • De naam van de doelcomputer. U kunt het IP-adres, de hostnaam of een andere naam gebruiken als computernaam.

  • De naam van het ETL-bestand dat moet worden gebruikt en de configuratie van de ringgrootte hiervoor

Het configuratiebestand maken

  1. Open een Windows PowerShell-prompt met verhoogde bevoegdheid en wijzig mappen in %SystemDrive%\ProgramData\Microsoft\BootEventCollector\Config.

  2. Type notepad .\newconfig.xml en druk op ENTER.

  3. Kopieer deze voorbeeldconfiguratie naar het Kladblok-venster:

    <collector configVersionMajor=1 statuslog=c:\ProgramData\Microsoft\BootEventCollector\Logs\statuslog.xml>
  <common>
    <collectorport value=50000/>
    <forwarder type=etl>
      <set name=file value=c:\ProgramData\Microsoft\BootEventCollector\Etl\{computer}\{computer}_{#3}.etl/>
      <set name=size value=10mb/>
      <set name=nfiles value=10/>
      <set name=toxml value=none/>
    </forwarder>
    <target>
      <ipv4 value=192.168.1.1/>
      <key value=a.b.c.d/>
      <computer value=computer1/>
    </target>
    <target>
      <ipv4 value=192.168.1.2/>
      <key value=d1.e2.f3.g4/>
      <computer value=computer2/>
    </target>
  </common>
</collector>

    Note

    Het hoofdknooppunt is <collector>. De kenmerken geven de versie van de syntaxis van het configuratiebestand en de naam van het statuslogboekbestand op.

    Het <algemene> element groepeert meerdere doelen door de gemeenschappelijke configuratie-elementen voor hen te specificeren, net zoals een gebruikersgroep kan worden gebruikt om de gemeenschappelijke machtigingen voor meerdere gebruikers te definiëren.

    Het element <collectorport> definieert het UDP-poortnummer waar de collector naar binnenkomende gegevens luistert. Dit is dezelfde poort als die is opgegeven in de doelconfiguratiestap voor Bcdedit. De collector ondersteunt slechts één poort en alle doelen moeten verbinding maken met dezelfde poort.

    De <doorstuurserver> element geeft aan hoe ETW-gebeurtenissen die van de doelcomputers worden ontvangen, worden doorgestuurd. Er is slechts één type doorstuurserver, waarmee ze naar de ETL-bestanden worden geschreven. De parameters geven het bestandsnaampatroon, de groottelimiet voor elk bestand in de ring en de grootte van de ring voor elke computer op. De instelling toxml geeft aan dat de ETW-gebeurtenissen worden geschreven in het binaire formulier zoals ze zijn ontvangen, zonder conversie naar XML. Zie de sectie XML-gebeurtenisconversie voor informatie over het bepalen of de gebeurtenissen aan XML moeten worden gegeven of niet. Het bestandsnaampatroon bevat deze vervangingen: {computer} voor de computernaam en {#3} voor de index van het bestand in de ring.

    In dit voorbeeldbestand worden twee doelcomputers gedefinieerd met het doelelement <>. Elke definitie specificeert het IP-adres met <ipv4->, maar u kunt ook het MAC-adres (bijvoorbeeld <mac value=11:22:33:44:55:66/> of <mac value=11-22-33-44-55-66/>) of SMBIOS-GUID (bijvoorbeeld <guid value={269076F9-4B77-46E1-B03B-CA5003775B88}/>) gebruiken om de doelcomputer te identificeren. Let ook op de versleutelingssleutel (hetzelfde als is opgegeven of gegenereerd met Bcdedit op de doelcomputer) en de computernaam.

  4. Voer de details voor elke doelcomputer in als een afzonderlijk <doelelement> in het configuratiebestand en sla Newconfig.xml op en sluit Kladblok.

  5. Pas de nieuwe configuratie toe met $result = (Get-Content .\newconfig.xml | Set-SbecActiveConfig); $result. De uitvoer moet worden geretourneerd met het veld Success op waar. Als u een ander resultaat krijgt, raadpleegt u de sectie Probleemoplossing van dit onderwerp.

U kunt altijd de huidige actieve configuratie controleren met (Get-SbecActiveConfig).text.

U kunt een geldigheidscontrole uitvoeren op het configuratiebestand met $result = (Get-Content .\newconfig.xml | Check-SbecConfig); $result.

Hoewel de Windows PowerShell-opdracht voor het toepassen van een nieuwe configuratie de service automatisch bijwerkt zonder dat u deze opnieuw hoeft op te starten, kunt u de service altijd zelf opnieuw opstarten met een van deze opdrachten:

  • Met Windows PowerShell: Restart-Service BootEventCollector

  • In een gewone opdrachtprompt: sc stop BootEventCollector; sc start BootEventCollector

Nano Server configureren als doelcomputer

De minimale interface die door Nano Server wordt aangeboden, kan het soms lastig maken om problemen hiermee vast te stellen. U kunt uw Nano Server-installatiekopie zo configureren dat deze automatisch deelneemt aan Setup en Boot Event Collection, waarbij diagnostische gegevens zonder verdere tussenkomst van u naar een collectorcomputer worden verzonden. Voer hiervoor de volgende stappen uit:

Nano Server configureren als doelcomputer

  1. Maak uw basisafbeelding voor Nano Server. Zie Aan de slag met Nano Server voor meer informatie.

  2. Stel een collectorcomputer in zoals in de sectie De collectorcomputer van dit onderwerp configureren.

  3. AutoLogger-registersleutels toevoegen om het verzenden van diagnostische berichten in te schakelen. Hiervoor koppelt u de Nano Server-VHD die u in stap 1 hebt gemaakt, laadt u de register-hive en voegt u vervolgens bepaalde registersleutels toe. In dit voorbeeld bevindt de Nano Server-afbeelding zich in C:\NanoServer; uw pad kan afwijken, dus pas de stappen dienovereenkomstig aan.

    1. Kopieer de .op de collectorcomputer . \Windows\System32\WindowsPowerShell\v1.0\Modules\BootEventCollector-map en plak deze in de map .. \Windows\System32\WindowsPowerShell\v1.0\Modules directory on the computer you are using to modify the Nano Server VHD.

    2. Start een Windows PowerShell-console met verhoogde machtigingen en voer Import-Module BootEventCollectoruit.

    3. Werk het Nano Server VHD-register bij om AutoLoggers in te schakelen. Voer Enable-SbecAutoLogger -Path C:\NanoServer\Workloads\IncludingWorkloads.vhd uit om dit te doen. Hiermee wordt een basislijst toegevoegd met de meest voorkomende installatie- en opstartevenementen; u kunt anderen onderzoeken op Control Event Tracing Sessions.

  4. Werk BCD-instellingen in de Nano Server-installatiekopieën bij om de indicator Gebeurtenissen in te schakelen en stel de collectorcomputer in om ervoor te zorgen dat diagnostische gebeurtenissen naar de juiste server worden verzonden. Noteer het IPv4-adres, de TCP-poort en de versleutelingssleutel van de collectorcomputer die u hebt geconfigureerd in het Active.XML-bestand van de collector (elders in dit onderwerp beschreven). Gebruik deze opdracht in een Windows PowerShell-console met verhoogde machtigingen: Enable-SbecBcd -Path C:\NanoServer\Workloads\IncludingWorkloads.vhd -CollectorIp 192.168.100.1 -CollectorPort 50000 -Key a.b.c.d

  5. Werk de collectorcomputer bij voor het ontvangen van gebeurtenissen die door de Nano Server-computer worden verzonden door het IPv4-adresbereik, het specifieke IPv4-adres of het MAC-adres van de Nano Server toe te voegen aan het Active.XML-bestand op de collectorcomputer (zie de sectie De collectorcomputer van dit onderwerp configureren).

De gebeurtenisverzamelaarservice starten

Zodra een geldig configuratiebestand is opgeslagen op de collectorcomputer en een doelcomputer is geconfigureerd zodra de doelcomputer opnieuw wordt opgestart, wordt de verbinding met de collector gemaakt en worden gebeurtenissen verzameld.

Het logboek voor de collectorservice zelf (die verschilt van de installatie- en opstartgegevens die door de service worden verzameld) vindt u onder Microsoft-Windows-BootEvent-Collector/Admin. Gebruik Windows Logboeken voor een grafische interface voor de gebeurtenissen. Een nieuwe weergave maken; vouw logboeken voor toepassingen en servicesuit, vouw Microsoft uit en Windows. Zoek BootEvent-Collector, vouw deze uit en zoek beheerder.

  • Met Windows PowerShell: Get-WinEvent -LogName Microsoft-Windows-BootEvent-Collector/Admin

  • In een gewone opdrachtprompt: wevtutil qe Microsoft-Windows-BootEvent-Collector/Admin

Troubleshooting

Problemen met de installatie van de functie oplossen

Error Foutbeschrijving Symptom Potentieel probleem
Dism.exe 87 De optie functienaam wordt niet herkend in deze context Dit kan gebeuren als u de functienaam verkeerd spelt. Controleer of u de juiste spelling hebt en probeer het opnieuw. Controleer of deze functie beschikbaar is in de versie van het besturingssysteem die u gebruikt. Voer in Windows PowerShell dism /online /get-features &#124; ?{$_ -match boot}uit. Als er geen overeenkomst wordt geretourneerd, gebruikt u waarschijnlijk een versie waarbij deze functie niet beschikbaar is.
Dism.exe 0x800f080c Functie-<name> is onbekend. Hetzelfde als hierboven

Problemen met de collector oplossen

Logboekregistratie: De Collector registreert zijn eigen gebeurtenissen als ETW-provider Microsoft-Windows-BootEvent-Collector. Het is de eerste plek waar u moet kijken om problemen met de collector op te lossen. U vindt ze in Logboekviewer onder Toepassingen en Services Logboeken > Microsoft > Windows > BootEvent-Collector > Admin, of u kunt ze lezen in een opdrachtvenster met een van de volgende opdrachten:

In een gewone opdrachtprompt: wevtutil qe Microsoft-Windows-BootEvent-Collector/Admin

In een Windows PowerShell-prompt: Get-WinEvent -LogName Microsoft-Windows-BootEvent-Collector/Admin (u kunt -Oldest toevoegen om de lijst in chronologische volgorde met oudste gebeurtenissen eerst te retourneren)

U kunt het detailniveau in de logboeken aanpassen door middel van waarschuwing, informatie (de standaardinstelling), uitgebreid en foutopsporing. Gedetailleerdere niveaus dan informatie zijn handig voor het diagnosticeren van problemen met doelcomputers die geen verbinding maken, maar ze kunnen een grote hoeveelheid gegevens genereren, dus gebruik ze zorgvuldig.

U stelt het minimale logboekniveau in de <collector> element van het configuratiebestand in. Bijvoorbeeld: <collector configVersionMajor=1 minlog=verbose>.

Het uitgebreide niveau registreert een record voor elk pakket dat wordt ontvangen terwijl het wordt verwerkt. Het foutopsporingsniveau voegt meer verwerkingsdetails toe en dumpt ook de inhoud van alle ontvangen ETW-pakketten.

Op foutopsporingsniveau kan het handig zijn om het logboek naar een bestand te schrijven in plaats van het te bekijken in het gebruikelijke logboekregistratiesysteem. Voeg hiervoor een extra element toe aan de <collector> element van het configuratiebestand:

<collector configVersionMajor=1 minlog=debug log=c:\ProgramData\Microsoft\BootEventCollector\Logs\log.txt>

Een voorgestelde benadering voor het oplossen van problemen met collector:

  1. Controleer eerst of de collector de verbinding van het doel heeft ontvangen (het maakt het bestand alleen wanneer het doel begint met het verzenden van de berichten) met

    Get-SbecForwarding

    Als er een verbinding vanuit dit doel is, kan het probleem zich in de autologger-instellingen bevinden. Als er niets wordt geretourneerd, ligt het probleem aan de KDNET-verbinding. Als u problemen met KDNET-verbindingen wilt vaststellen, controleert u de verbinding vanaf beide uiteinden (dat wil gezegd, van de collector en van het doel).

  2. Als u uitgebreide diagnostische gegevens van de collector wilt zien, voegt u dit toe aan het <collector-element> van het configuratiebestand: <collector ... minlog=verbose> Hiermee worden berichten over elk ontvangen pakket weergegeven.

  3. Controleer of pakketten helemaal worden ontvangen. Desgewenst kunt u het logboek in uitgebreide modus rechtstreeks naar een bestand schrijven in plaats van ETW te gebruiken. Doe dit door het volgende toe te voegen aan het <collector> element van het configuratiebestand: <collector ... minlog=uitgebreid log=c:\ProgramData\Microsoft\BootEventCollector\Logs\log.txt>

  4. Controleer de gebeurtenislogboeken op berichten over de ontvangen pakketten. Controleer of pakketten helemaal worden ontvangen. Als de pakketten worden ontvangen maar onjuist zijn, controleert u gebeurtenisberichten voor meer informatie.

  5. Vanaf de doelzijde schrijft KDNET enkele diagnostische gegevens naar het register. Zoek in HKLM\SYSTEM\CurrentControlSet\Services\kdnet voor berichten. KdInitStatus (DWORD) zal = 0 bij succes en geeft een foutcode weer bij fout KdInitErrorString = uitleg van de fout (bevat ook informatieve berichten als er geen fout is)

  6. Voer Ipconfig.exe uit op het doel en controleer op de apparaatnaam die het rapporteert. Als KDNET correct is geladen, moet de apparaatnaam ongeveer kdnic zijn in plaats van de kaartnaam van de oorspronkelijke leverancier.

  7. Controleer of DHCP is geconfigureerd voor het doel. KDNET vereist absoluut DHCP.

  8. Controleer of de collector zich in hetzelfde netwerk bevindt als het doel. Zo niet, controleert u of de routering juist is geconfigureerd, met name de standaardgatewayinstelling voor DHCP.

Verbindingsstatus

U kunt de huidige lijst met tot stand gebrachte verbindingen en informatie controleren over waar de gegevens worden doorgestuurd met Get-SbecForwarding.

U kunt ook de recente geschiedenis van statuswijzigingen in verbindingen met Get-SbecHistoryophalen.

Problemen met het instellen van een nieuwe configuratie oplossen

Als u de configuratie hebt toegepast met de Windows PowerShell-opdracht $result = (Get-Content .\newconfig.xml | Set-SbecActiveConfig); $result, bevat de variabele $result informatie over de implementatie. U kunt een query uitvoeren op deze variabele om er andere informatie uit te halen:

Krijg informatie over fouten met $result.ErrorString. Als hier fouten worden gerapporteerd, is de nieuwe configuratie niet toegepast en blijft de oude configuratie ongewijzigd.

Ontvang waarschuwingen met $result.WarningString.

Krijg informatie over de details van de configuratie met $result.InfoString.

U kunt het volledige resultaat ophalen met $result | fl *. Als u het resultaat niet in een variabele wilt opslaan, kunt u ook Get-Content .\newconfig.xml | Set-SbecActiveConfig | fl *gebruiken.

Problemen met doelcomputers oplossen

Error Foutbeschrijving Potentieel probleem
Doelcomputer Het target maakt geen verbinding met de Collector De doelcomputer is niet opnieuw opgestart nadat deze is geconfigureerd. Start de doelcomputer opnieuw op. De doelcomputer heeft onjuiste BCD-instellingen. Controleer de instellingen in de sectie Doelcomputerinstellingen valideren. Corrigeer indien nodig en start de doelcomputer opnieuw op.

Het KDNET/EVENT-NET-stuurprogramma kan geen verbinding maken met een netwerkadapter of verbinding maken met de verkeerde netwerkadapter. Voer gwmi Win32_NetworkAdapter in Windows PowerShell de uitvoer uit en controleer deze op een met de ServiceName kdnic. Als de verkeerde netwerkadapter is geselecteerd, volg re-do de stappen in het opgeven van een netwerkadapter. Als de netwerkadapter helemaal niet wordt weergegeven, kan het zijn dat het stuurprogramma geen ondersteuning biedt voor uw netwerkadapters.

Zie ook: Een voorgestelde benadering voor het oplossen van problemen met de collector hierboven, met name stap 5 tot en met 8.
Collector Ik zie geen gebeurtenissen meer nadat de migratie van de VM waarop mijn collector is gehost. Controleer of het IP-adres van de collectorcomputer niet is gewijzigd. Als dat zo is, controleer hoe u het verzenden van ETW-gebeurtenissen op afstand via het transport mogelijk kunt maken.
Collector De ETL-bestanden worden niet gemaakt. Get-SbecForwarding geeft aan dat het doel is verbonden, zonder fouten, maar dat de ETL-bestanden niet worden gemaakt.

De doelcomputer heeft waarschijnlijk nog geen gegevens verzonden; ETL-bestanden worden alleen gemaakt wanneer gegevens worden ontvangen.
Collector Een gebeurtenis wordt niet weergegeven in het ETL-bestand. De doelcomputer heeft een gebeurtenis verzonden, maar wanneer het ETL-bestand wordt gelezen met Logboeken van Message Analyzer, is de gebeurtenis niet aanwezig. De gebeurtenis kan nog steeds in de buffer staan. Gebeurtenissen worden pas naar het ETL-bestand geschreven als er een volledige buffer van 64 kB wordt verzameld of een time-out van ongeveer 10 tot 15 seconden, zonder dat er nieuwe gebeurtenissen zijn opgetreden. Wacht tot de time-out is verlopen of maak de buffers leeg met Save-SbecInstance.

Het gebeurtenismanifest is niet beschikbaar op de collectorcomputer of de computer waarop Logboeken of Message Analyzer worden uitgevoerd. In dit geval kan de collector de gebeurtenis mogelijk niet verwerken (controleer het collectorlogboek) of kan de viewer deze mogelijk niet weergeven. Het is een goede gewoonte om alle manifesten op de collectorcomputer te installeren en updates op de collectorcomputer te installeren voordat u ze op de doelcomputer installeert.
  • Last updated on