Partilhar via

Rastreando a atividade do WMI

A partir do Windows Vista, o serviço WMI deixou de utilizar os Arquivos de Log WMI. Em vez disso, ele usa o Rastreamento de Eventos para Windows (ETW) , e os eventos estão disponíveis através do Visualizador de Eventos ou da ferramenta de linha de comando Wevtutil.

As seguintes seções são discutidas neste tópico:

Obtendo eventos WMI através do Visualizador de Eventos

O arquivo WMITracing.log contém os eventos que o WMI rastreia. No entanto, este é um arquivo binário. Para ver esses eventos em um formato legível por humanos, use o Visualizador de Eventos.

Por padrão, os eventos WMI não são rastreados. Este procedimento descreve como usar do Visualizador de Eventos para habilitar o rastreamento de eventos WMI e localizar eventos WMI. Você pode fazer as mesmas operações através da ferramenta de linha de comando wevtutil.

Para exibir eventos WMI no Visualizador de Eventos

  1. Abra Visualizador de Eventos. No menu Vista, clique em Mostrar Registos Analíticos e de Depuração. Localize o log do canal Trace para WMI em Registos de Aplicações e Serviços | Microsoft | Windows | Atividade WMI.
  2. Clique com o botão direito do rato no registo Trace e selecione Propriedades do Registo. Clique na caixa de seleção Ativar Registo para iniciar o rastreamento de eventos WMI. Para obter mais informações sobre canais, consulte Logs de eventos e canais no Log de Eventos do Windows.
  3. Os eventos WMI aparecem na janela de eventos para WMI-Activity. Clique duas vezes em um evento na lista para ver as informações detalhadas. Você pode exibir um evento em de Exibição XML ou em formato Modo de Exibição Amigável.

O campo ID do Evento exibe um valor que contém as seguintes informações.

Evento 1

Início da sequência de eventos para uma operação específica. Uma ocorrência para cada sequência.

Os campos de evento para um Evento 1 são:

  • GroupOperationID é um identificador exclusivo usado para todos os eventos relatados para um cliente específico.
  • OperationId indica a sequência da operação.
  • Operation especifica a conexão e/ou solicitação ao WMI.
  • User indica a conta que faz uma solicitação ao WMI executando um script ou por meio do CIM Studio.
  • Namespace mostra o namespace WMI ao qual a conexão é feita.

Por exemplo, um script pode solicitar todas as instâncias de uma classe WMI, como Win32_Service. A primeira operação pode ser uma conexão com WMI.

Evento 2

Eventos que compõem a operação. Uma ou mais ocorrências na sequência.

Os campos de evento para um Evento 2 são:

  • GroupOperationID indica a sequência na qual o evento ocorre.
  • GroupOperationID indica a sequência na qual o evento ocorre.
  • ProviderName indica o nome do provedor que fornece os dados.
  • Caminho é o caminho WMI para o objeto.

Por exemplo, a operação pode ser uma enumeração de Win32_Service.

Evento 3

Fim da sequência de eventos para uma operação específica. Uma ocorrência para cada sequência.

Somente o GroupOperationID é mostrado.

Habilitar o rastreamento WMI no prompt de comando

Você também pode habilitar o rastreamento de eventos WMI por meio da ferramenta de linha de comando Wevtutil. Use o seguinte comando: Wevtutil.exe sl Microsoft-Windows-WMI-Activity/Trace /e:true. A origem do evento WMI é Microsoft-Windows-WMI. Para obter mais informações sobre Wevtutil.exe, consulte Sobre o log de eventos do Windows.

Usando o rastreamento WMI baseado em WPP

Em sistemas operacionais Windows a partir do Windows Vista, o WMI cria um canal de rastreamento ativo durante o processo de inicialização. O nome do canal é WMI_Trace_Session. Apenas os erros são registados no canal.

O pré-processador de rastreamento de software (WPP) do Windows registra informações em um arquivo binário. Para ler o arquivo, você deve primeiro traduzi-lo em um formato de texto legível. Você usa uma ferramenta chamada tracefmt.exe do Windows Driver Kit (WDK) para fazer a tradução. A ferramenta requer informações armazenadas em alguns arquivos associados. Os arquivos estão localizados no diretório %SystemRoot%\System32\wbem\tmf e têm uma extensão de nome de arquivo .tmf. A ferramenta realmente requer um único arquivo .tmf. Você cria esse único arquivo concatenando todos os arquivos .tmf em outro arquivo .tmf. Para obter mais informações sobre arquivos .tmf, consulte Trace Message Format File.

Depois de instalar o do Windows Driver Kit (WDK) para obter as ferramentas de linha de comando tracelog.exe e tracefmt.exe, execute as etapas a seguir para coletar um rastreamento WMI baseado em WPP.

Para exibir um de rastreamento WMI baseado em WPP

  1. Para criar o único arquivo .tmf, abra uma janela de prompt de comando elevada e navegue até o diretório \System32\wbem\tmf %SystemRoot%.

  2. Escreva cópia /y %SystemRoot%\System32\wbem\tmf\*.tmf %SystemRoot%\System32\wbem\tmf\wmi.tmf. Isso criará um arquivo chamado wmi.tmf que inclui o conteúdo de todos os outros arquivos .tmf.

  3. Digite tracelog -flush WMI_Trace_Session. Isso esvaziará os buffers WPP no disco.

  4. Digite set TRACE_FORMAT_PREFIX = [%9!d!]%8!04X!.%3!04X!.%3!04X!::%4!s![%1!s!](%!COMPNAME!:%!FUNC!:%2!s!). A ferramenta tracefmt adiciona algumas informações padrão a cada mensagem de rastreamento. Você pode configurar quais informações são incluídas definindo a variável de ambiente TRACE_FORMAT_PREFIX. Para saber mais sobre a sintaxe usada, consulte Trace Message Prefix.

  5. Digite tracefmt -tmf %systemroot%\system32\wbem\tmf\wmi.tmf -o OUTPUT.TXT %systemroot%\system32\wbem\logs\WMITracing.log. Isso executa a tradução do formato binário para o formato de texto legível.

  6. Digite o comando notepad %systemroot%\system32\wbem\tmf\OUTPUT.TXT. Isso abrirá o arquivo de rastreamento no Bloco de Notas.

A seguir estão algumas outras tarefas relacionadas ao WPP que você pode precisar executar.

Para interromper o rastreamento WMI baseado em WPP

  • Digite tracelog -stop WMI_Trace_Session.

Para iniciar o rastreamento WMI baseado em WPP

  • Digite tracelog -start WMI_Trace_Session -guid #1FF6B227-2CA7-40f9-9A66-980EADAA602E -rt -level 5 -flag 0x7 -f MYTRACE. BIN

Windows Vista: Por padrão, o rastreamento WMI baseado em WPP é definido como nível 2, que inclui apenas mensagens de erro. Para incluir também mensagens informativas, defina o nível como 4. Todas as áreas do WMI são rastreadas por padrão. Existem três áreas distintas que podem ser rastreadas: Core (flag=0x1), ESS (flag=0x2) e Prov (flag=0x4). No comando iniciar acima, o indicador 0x7 faz com que todas as três áreas sejam rastreadas.

Windows 7: Por padrão, o rastreamento WMI baseado em WPP é desabilitado e definido como nível 0. Para usar o rastreamento WMI baseado em WPP, esse recurso deve ser habilitado e definido como nível 2 para mensagens de erro ou nível 4 para mensagens de erro e informativas.

Para listar todas as sessões de rastreamento do WPP

  • Digite tracelog -l.

Para listar informações sobre a sessão de rastreio WMI WPP

  • Digite tracelog -l | findstr /i "wmi_trace".

Para exibir os parâmetros de sessão de rastreamento WMI WPP

  • Introduza tracelog -q WMI_Trace_Session.

Resolução de Problemas do WMI

Ficheiros de Log WMI

 

 

  • Last updated on