Prise en main de la collecte d’événements de configuration et de démarrageGet started with Setup and Boot Event Collection

S’applique à : Windows ServerApplies To: Windows Server

Vue d’ensembleOverview

La collecte d’événements de configuration et de démarrage est une nouvelle fonctionnalité dans Windows Server 2016 qui vous permet de désigner un ordinateur « collecteur » qui peut collecter différents événements importants qui se produisent sur d’autres ordinateurs lorsqu’ils démarrer ou passent par le processus de configuration.Setup and Boot Event Collection is a new feature in Windows Server 2016 that allows you to designate a "collector" computer that can gather a variety of important events that occur on other computers when they boot or go through the setup process. Vous pouvez ensuite analyser les événements collectés avec l’observateur d’événements, l’analyseur de messages, Wevtutil ou les applets de commande Windows PowerShell.You can then later analyze the collected events with Event Viewer, Message Analyzer, Wevtutil, or Windows PowerShell cmdlets.

Auparavant, ces événements étaient impossibles à surveiller, car l’infrastructure nécessaire pour les collecter n’existe pas tant qu’un ordinateur n'est pas déjà configuré.Previously, these events have been impossible to monitor because the infrastructure needed to collect them doesn't exist until a computer is already set up. Les types d’événements de configuration et de démarrage que vous pouvez surveiller sont les suivants :The kinds of setup and boot events you can monitor include:

  • Chargement des modules et des pilotes de noyauLoading of kernel modules and drivers

  • Énumération des périphériques et initialisation de leurs pilotes (y compris les « périphériques » de type unité centrale)Enumeration of devices and initialization of their drivers (including "devices" such as CPU type)

  • Vérification et montage de systèmes de fichiersVerification and mounting of file systems

  • Démarrage des fichiers exécutablesStarting of executable files

  • Démarrage et achèvement des mises à jour du systèmeStarting and completions of system updates

  • Les moments où le système devient disponible pour l’ouverture de session, établit la connexion avec un contrôleur de domaine, l’achèvement des démarrages du service et la disponibilité des partages réseauThe points when the system becomes available for logon, establishes connection with a domain controller, completion of service starts, and availability of network shares

L’ordinateur collecteur doit exécuter Windows Server 2016 (il peut être en mode Serveur avec Expérience utilisateur ou en mode d’installation minimale).The collector computer must be running Windows Server 2016 (it can be in either Server with Desktop Experience or Server Core mode). L’ordinateur cible doit exécuter Windows 10 ou Windows Server 2016.The target computer must be running either Windows 10 or Windows Server 2016. Vous pouvez également exécuter ce service sur une machine virtuelle hébergée sur un ordinateur qui n'exécute pas Windows Server 2016.You can also run this service on a virtual machine which is hosted on a computer that is not running Windows Server 2016. Les combinaisons suivantes de collecteur virtualisé et d'ordinateurs cibles sont compatibles :The following combinations of virtualized collector and target computers are known to work:

Hôte de virtualisationVirtualization host Machine virtuelle de collecteurCollector virtual machine Machine virtuelle cibleTarget virtual machine
Windows 8.1Windows 8.1 ouiyes ouiyes
Windows 10Windows 10 ouiyes ouiyes
Windows Server 2016Windows Server 2016 ouiyes ouiyes
Windows Server 2012 R2Windows Server 2012 R2 ouiyes nonno

Installation du service collecteurInstalling the collector service

À partir de Windows Server 2016, le service de collecteur d’événements est disponible en tant que fonctionnalité facultative.Starting with the Windows Server 2016, the event collector service is available as an optional feature. Dans cette version, vous pouvez l'installer à l’aide de DISM.exe avec cette commande à une invite Windows PowerShell avec élévation de privilèges :In this release, you can install it using DISM.exe with this command at an elevated Windows PowerShell prompt:

dism /online /enable-feature /featurename:SetupAndBootEventCollection

Cette commande crée un service appelé BootEventCollector et le démarre avec un fichier de configuration vide.This command creates a service called BootEventCollector and starts it with an empty configuration file.

Confirmez la réussite de l’installation en vérifiant get-service -displayname *boot*.Confirm that the installation succeed by checking get-service -displayname *boot*. Le collecteur d’événements de démarrage doit être en cours d’exécution.The Boot Event Collector should be running. Il s’exécute sous le compte de service réseau et crée un fichier de configuration vide (Active.xml) dans %SystemDrive%\ProgramData\Microsoft\BootEventCollector\Config.It runs under the Network Service Account and creates an empty configuration file (Active.xml) in %SystemDrive%\ProgramData\Microsoft\BootEventCollector\Config.

Vous pouvez également installer le service de collecte d’événements de configuration et de démarrage avec l’Assistant Ajout de rôles et de fonctionnalités dans le Gestionnaire de serveur.You can also install the Setup and Boot Event Collection service with the Add Roles and Features wizard in Server Manager.

ConfigurationConfiguration

Vous devez configurer deux éléments pour collecter des événements de configuration et de démarrage.You need to configure two items to collect setup and boot events.

  • Sur les ordinateurs cibles qui envoient les événements (autrement dit, les ordinateurs dont vous voulez surveiller la configuration et le démarrage), activez le transport KDNET/EVENT-NET et activez le transfert des événements.On the target computers which will send the events (that is, the computers whose setup and boot you want to monitor), enable the KDNET/EVENT-NET transport and enable the forwarding of events.

  • Sur l’ordinateur collecteur, spécifiez les ordinateurs dont vous voulez accepter les événements, ainsi que leur emplacement d’enregistrement.On the collector computer, specify which computers to accept events from and where to save them.

Notes

Vous ne pouvez pas configurer un ordinateur pour envoyer les événements de configuration ou de démarrage à lui-même.You cannot configure a computer to send the startup or boot events to itself. Mais si vous souhaitez surveiller deux ordinateurs, vous pouvez les configurer pour qu'ils s'envoient les événements entre eux.But if you want to monitor two computers, you can configure them to send the events to each other.

Configuration d’un ordinateur cibleConfiguring a target computer

Sur chaque ordinateur cible, vous activez tout d’abord le transport KDNET/EVENT-NET, puis vous activez l’envoi des événements ETW via le transport, puis redémarrez l’ordinateur cible.On each target computer, you first enable the KDNET/EVENT-NET transport, then enable sending of ETW events through the transport, and then restart the target computer. EVENT-NET est un protocole de transport intégré au noyau similaire à KDNET (protocole de débogueur du noyau).EVENT-NET is an in-kernel transport protocol which is similar to KDNET (the kernel debugger protocol). EVENT-NET transmet uniquement les événements et ne permet pas d'accéder au débogueur.EVENT-NET only transmits events and doesn't allow debugger access. Ces deux protocoles s'excluent mutuellement ; vous ne pouvez en activer qu'un à la fois.These two protocols are mutually exclusive; you can only enable one of them at a time.

Vous pouvez activer le transport des événements à distance (avec Windows PowerShell) ou localement.You can enable event transport remotely (with Windows PowerShell) or locally.

Pour activer le transport d'événements à distanceTo enable event transport remotely
  1. Si vous avez déjà configuré un accès distant Windows PowerShell sur l’ordinateur cible, passez à l’étape 3.If you have already set up Windows PowerShell Remoting to the target computer, skip to Step 3. Si ce n’est pas le cas, sur l’ordinateur cible, ouvrez une invite de commandes et exécutez la commande suivante :If not, then on the target computer, open a command prompt and run the following command:

    winrm quickconfigwinrm quickconfig

  2. Répondez aux invites, puis redémarrez l’ordinateur cible.Respond to the prompts and then restart the target computer. Si les ordinateurs cible ne se trouvent pas dans le même domaine que l’ordinateur collecteur, vous devrez peut-être les définir comme hôtes approuvés.If the target computers are not in the same domain as the collector computer, you might need to define them as trusted hosts. Pour ce faire :To do this:

  3. Sur l’ordinateur collecteur, exécutez l'une de ces commandes :On the collector computer, run either of these commands:

    • Dans une invite Windows PowerShell : Set-Item -Force WSMan:\localhost\Client\TrustedHosts "<target1>,<target2>,...", suivi par Set-Item -Force WSMan:\localhost\Client\AllowUnencrypted true où <target1 >, etc. sont les noms ou les adresses IP des ordinateurs cibles.In a Windows PowerShell prompt: Set-Item -Force WSMan:\localhost\Client\TrustedHosts "<target1>,<target2>,...", followed by Set-Item -Force WSMan:\localhost\Client\AllowUnencrypted true where <target1>, etc. are the names or IP addresses of the target computers.

    • Ou dans une invite de commandes : winrm set winrm/config/client @ {TrustedHosts = "<target1 >,<target2 >,..."; AllowUnencrypted = "true"}Or in a command prompt: winrm set winrm/config/client @{TrustedHosts="<target1>,<target2>,...";AllowUnencrypted="true"}

      Important

      Cela définit une communication non chiffrée, donc ne l'exécutez pas en dehors d’un environnement de laboratoire.This sets up unencrypted communication, so don't do this outside of a lab environment.

  4. Testez la connexion à distance en accédant à l’ordinateur collecteur et en exécutant l'une de ces commandes Windows PowerShell :Test the remote connection by going to the collector computer and running one of these Windows PowerShell commands:

    Si l’ordinateur cible se trouve dans le même domaine que l’ordinateur du collecteur, exécutez New-PSSession -Computer <target> | Remove-PSSessionIf the target computer is in the same domain as the collector computer, run New-PSSession -Computer <target> | Remove-PSSession

    Si l’ordinateur cible ne se trouve pas dans le même domaine, exécutez New-PSSession -Computer <target> -Credential Administrator | Remove-PSSession, qui vous invite à indiquer vos informations d’identification.If the target computer is not in the same domain, run New-PSSession -Computer <target> -Credential Administrator | Remove-PSSession, which will prompt you for credentials.

    Si la commande ne renvoie rien, la communication à distance a réussi.If the command doesn't return anything, remoting was successful.

  5. Sur l’ordinateur cible, ouvrez une invite Windows PowerShell avec élévation de privilèges et exécutez la commande suivante :On the target computer, open an elevated Windows PowerShell prompt and run this command:

    Enable-SbecBcd -ComputerName <target_name> -CollectorIP <ip> -CollectorPort <port> -Key <a.b.c.d>

    Ici < target_name > est le nom de l’ordinateur cible, <> IP est l’adresse IP de l’ordinateur collecteur.Here <target_name> is the name of the target computer, <ip> is the IP address of the collector computer. <port > est le numéro de port sur lequel le collecteur s’exécutera.<port> is the port number where the collector will run. La clé <a.b.c.d> est une clé de chiffrement requise pour la communication, composée de quatre chaînes alphanumériques séparées par des points.The Key <a.b.c.d> is a required encryption key for the communication, comprising four alphanumeric strings separated by dots. Cette même clé est utilisée sur l’ordinateur collecteur.This same key is used on the collector computer. Si vous n’entrez pas de clé, le système génère une clé aléatoire ; vous en aurez besoin pour l’ordinateur collecteur, donc prenez note de celle-ci.If you don't enter a key, the system generates a random key; you'll need this for the collector computer, so make a note of it.

  6. Si vous avez déjà configuré un ordinateur collecteur, mettez à jour le fichier de configuration sur l’ordinateur collecteur avec les informations pour le nouvel ordinateur cible.If you already have a collector computer set up, update the configuration file on the collector computer with the information for the new target computer. Consultez la section « Configuration de l’ordinateur collecteur » pour plus d’informations.See the "Configuring the collector computer" section for details.

Pour activer le transport d'événements localement sur l’ordinateur cibleTo enable event transport locally on the target computer
  1. Démarrez une invite de commandes avec élévation de privilèges et exécutez les commandes suivantes :Start an elevated command prompt, and then run these commands:

    bcdedit/Event Ouibcdedit /event yes

    bcdedit/eventSettings net HostIP : 1.2.3.4 port : 50000 clé : a. b. c. dbcdedit /eventsettings net hostip:1.2.3.4 port:50000 key:a.b.c.d

    « 1.2.3.4 » est ici un exemple ; remplacez-le par l’adresse IP de l’ordinateur collecteur.Here "1.2.3.4" is an example; replace this with the IP address of the collector computer. Remplacez également « 50000 » par le numéro de port dans lequel s’exécute le collecteur et « a.b.c.d » par la clé de chiffrement requise pour la communication.Also replace "50000" with the port number where the collector will run and "a.b.c.d" with the required encryption key for the communication. Cette même clé est utilisée sur l’ordinateur collecteur.This same key is used on the collector computer. Si vous n’entrez pas de clé, le système génère une clé aléatoire ; vous en aurez besoin pour l’ordinateur collecteur, donc prenez note de celle-ci.If you don't enter a key, the system generates a random key; you'll need this for the collector computer, so make a note of it.

  2. Si vous avez déjà configuré un ordinateur collecteur, mettez à jour le fichier de configuration sur l’ordinateur collecteur avec les informations pour le nouvel ordinateur cible.If you already have a collector computer set up, update the configuration file on the collector computer with the information for the new target computer. Consultez la section « Configuration de l’ordinateur collecteur » pour plus d’informations.See the "Configuring the collector computer" section for details.

Maintenant que le transport d’événements lui-même est activé, vous devez autoriser le système à envoyer des événements ETW par le biais de ce transport.Now that event transport itself is enabled, you must enable the system to actually send ETW events through that transport.

Pour activer l’envoi des événements ETW via le transport à distanceTo enable sending of ETW events through the transport remotely
  1. Sur l’ordinateur collecteur, ouvrez une invite Windows PowerShell avec élévation de privilèges.On the collector computer, open an elevated Windows PowerShell prompt.

  2. Exécutez Enable-SbecAutologger -ComputerName <target_name>, où <target_name> est le nom de l’ordinateur cible.Run Enable-SbecAutologger -ComputerName <target_name>, where <target_name> is the name of the target computer.

Si vous n’êtes pas en mesure de configurer un accès distant Windows PowerShell, vous pouvez toujours activer l’envoi d’événements directement sur l’ordinateur cible.If you aren't able to set up Windows PowerShell Remoting, you can always enable sending of events directly on the target computer.

Pour activer l’envoi des événements ETW via le transport localementTo enable sending of ETW events through the transport locally
  1. Sur l’ordinateur cible, démarrez Regedit.exe et recherchez cette clé de Registre :On the target computer, start Regedit.exe and find this registry key:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\AutoLogger.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\AutoLogger. Plusieurs sessions de connexion sont répertoriées comme sous-clés sous cette clé.Various log sessions are listed as sub-keys under this key. La plateforme d’installation, le Suivi du noyau Windows NTet Microsoft-Windows-Setup sont les choix possibles pour une utilisation avec la collecte d’événements de configuration et de démarrage, mais l’option recommandée est Système du journal des événements.Setup Platform, NT Kernel Logger, and Microsoft-Windows-Setup are possible choices for use with Setup and Boot Event Collection, but the recommended option is EventLog-System. Ces clés sont détaillées dans Configuration et démarrage d'une session du journal automatique.These keys are detailed in Configuring and Starting an AutoLogger Session.

  2. Dans la clé EventLog-System, modifiez la valeur de LogFileMode de 0x10000180 par 0x10080180.In the EventLog-System key, change the value of LogFileMode from 0x10000180 to 0x10080180. Pour plus d’informations sur les détails de ces paramètres, voir Constantes du mode journalisation.For more information about the details of these settings, see Logging Mode Constants.

  3. Si vous le souhaitez, vous pouvez également activer le transfert de données de vérification de bogue vers l’ordinateur collecteur.Optionally, you can also enable forwarding of bug check data to the collector computer. Pour ce faire, recherchez la clé de Registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager et créez la clé de Debug Print Filter avec une valeur de 0x1.To do this, find the registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager and create the key Debug Print Filter with a value of 0x1.

  4. Redémarrez l’ordinateur cible.Restart the target computer.

Choix de la carte réseauChoosing the network adapter

Si l’ordinateur cible possède plusieurs cartes réseau, le pilote KDNET choisit le premier répertorié pris en charge.If the target computer has more than one network adapter, the KDNET driver will choose the first supported one listed. Vous pouvez spécifier une carte réseau à utiliser pour le transfert des événements de configuration en suivant ces étapes :You can specify a particular network adapter to use for forwarding setup events with these steps:

Pour spécifier une carte réseauTo specify a network adapter
  1. Sur l’ordinateur cible, ouvrez le Gestionnaire de périphériques, développez Cartes réseau, recherchez la carte réseau que vous souhaitez utiliser et cliquez dessus avec le bouton droit.On the target computer, open Device Manager, expand Network Adapters, find the network adapter you want to use, and right-click it.

  2. Dans le menu qui s’ouvre, cliquez sur Propriétés, puis cliquez sur l’onglet Détails. Développez le menu dans le champ Propriété, faites défiler pour trouver les informations de localisation (la liste n’est probablement pas classée dans l'ordre alphabétique), puis cliquez dessus.In the menu that opens, click Properties, and then click the Details tab. Expand the menu in the Property field, scroll to find Location information (the list is probably not in alphabetical order), and then click it. La valeur sera une chaîne sous la forme bus PCI X, appareil Y, fonction Z. Prenez note de X.Y.Z ; ce sont les paramètres de bus dont vous avez besoin pour la commande suivante.The value will be a string of the form PCI bus X, device Y, function Z. Make note of X.Y.Z; these are the bus parameters you need for the following command.

  3. Exécutez l’une des commandes suivantes :Run either one of these commands:

    À partir d’une invite Windows PowerShell avec élévation de privilèges : Enable-SbecBcd -ComputerName <target_name> -CollectorIP <ip> -CollectorPort <port> -Key <a.b.c.d> -BusParams <X.Y.Z>From an elevated Windows PowerShell prompt: Enable-SbecBcd -ComputerName <target_name> -CollectorIP <ip> -CollectorPort <port> -Key <a.b.c.d> -BusParams <X.Y.Z>

    À partir d’une invite de commandes avec élévation de privilèges : bcdedit /eventsettings net hostip:aaa port:50000 key:bbb busparams:X.Y.ZFrom an elevated command prompt: bcdedit /eventsettings net hostip:aaa port:50000 key:bbb busparams:X.Y.Z

Valider la configuration de l’ordinateur cibleValidate target computer configuration

Pour vérifier les paramètres sur l’ordinateur cible, ouvrez une invite de commandes avec élévation de privilèges et exécutez bcdedit/enum.To check settings on the target computer, open an elevated command prompt and run bcdedit /enum. Une fois terminé, exécutez bcdedit /eventsettings.When this is finished, then run bcdedit /eventsettings. Vous pouvez vérifier les valeurs suivantes :You can double-check the following values:

  • CléKey

  • Debugtype = NETDebugtype = NET

  • HostIP = <adresse IP du collecteur >Hostip = <IP address of the collector>

  • Port = <numéro de port que vous avez spécifié pour le collecteur à utiliser >Port = <port number you specified for the collector to use>

  • DHCP = ouiDHCP = yes

Vérifiez également que vous avez activé bcdedit /event, car /debug et /event s’excluent mutuellement.Also check that you have enabled bcdedit /event, since /debug and /event are mutually exclusive. Vous ne pouvez exécuter que l'un ou l’autre.You can only run one or the other. De même, vous ne pouvez pas combiner /eventsettings avec/Debug ou /dbgsettings avec /event.Similarly, you can't mix /eventsettings with /debug or /dbgsettings with /event.

Notez également que la collecte d’événements ne fonctionne pas si vous le configurez sur un port série.Note also that event collection doesn't work if you set it to a serial port.

Configuration de l’ordinateur collecteurConfiguring the collector computer

Le service collecteur reçoit les événements et les enregistre dans les fichiers ETL.The collector service receives the events and saves them in ETL files. Ces fichiers ETL peuvent alors être lus par d’autres outils, tels que l’Observateur d’événements, l’Analyseur de Message, Wevtutil et les applets de commande Windows PowerShell.These ETL files can then be read by other tools, such as Event Viewer, Message Analyzer, Wevtutil, and Windows PowerShell cmdlets.

Comme le format ETW ne vous permet de spécifier le nom de l’ordinateur cible, les événements pour chaque ordinateur cible doivent être enregistrés dans un fichier distinct.Since the ETW format doesn't allow you to specify the target computer name, the events for each target computer must be saved to a separate file. Les outils d’affichage peuvent indiquer un nom d’ordinateur, mais il s'agira du nom de l’ordinateur sur lequel s’exécute l’outil.The display tools might show a computer name but it will be the name of the computer on which the tool runs.

Plus précisément, chaque ordinateur cible est affecté un anneau de fichiers ETL.More exactly, each target computer is assigned a ring of ETL files. Chaque nom de fichier inclut un index de 000 jusqu'à une valeur maximale que vous configurez (jusqu'à 999).Each file name includes an index from 000 to a maximum value that you configure (up to 999). Lorsque le fichier atteint la taille maximale configurée, il passe les événements d’écriture au fichier suivant.When the file reaches the maximum configured size, it switches writing events to the next file. Après le fichier le plus élevé possible, il revient à l'index 000 du fichier.After the highest possible file it switches back to file index 000. De cette façon, les fichiers sont automatiquement recyclés, ce qui limite l’utilisation d’espace disque.In this way, the files are automatically recycled, limiting usage of disk space. Vous pouvez également définir des stratégies de rétention externes supplémentaires pour limiter l’utilisation du disque ; par exemple, vous pouvez supprimer les fichiers antérieurs à un nombre défini de jours.You can also set additional external retention policies to further limit disk usage; for example, you can delete files older than a set number of days.

Les fichiers ETL collectés sont généralement conservés dans le répertoire c:\ProgramData\Microsoft\BootEventCollector\Etl (qui peut avoir des sous-répertoires supplémentaires).Collected ETL files are typically kept in the directory c:\ProgramData\Microsoft\BootEventCollector\Etl (which might have additional subdirectories). Vous trouverez le fichier journal le plus récent en les triant par heure de dernière modification.You can find the most recent log file by sorting them by the last modification time. Il existe également un journal d’état (généralement dans c:\ProgramData\Microsoft\BootEventCollector\Logs), qui enregistre chaque fois que le collecteur passe l’écriture à un nouveau fichier.There is also a status log (typically in c:\ProgramData\Microsoft\BootEventCollector\Logs), which records whenever the collector switches writing to a new file.

Il existe également un journal de collecteur, qui enregistre des informations sur le collecteur lui-même.There is also a collector log, which records information about the collector itself. Vous pouvez conserver ce journal au format ETW (dans lequel les événements sont signalés au service Journal Windows ; il s’agit de la valeur par défaut) ou dans un fichier (normalement dans c:\ProgramData\Microsoft\BootEventCollector\Logs).You can keep this log in the ETW format (in which events are reported to the Windows log service; this is the default) or in a file (normally in c:\ProgramData\Microsoft\BootEventCollector\Logs). L'utilisation d’un fichier peut être utile si vous souhaitez activer les modes détaillés qui génèrent une grande quantité de données.Using a file could be useful if you want to enable verbose modes that produce a lot of data. Vous pouvez également configurer le journal pour écrire dans une sortie standard en exécutant le collecteur à partir de la ligne de commande.You can also set the log to write to a standard output by running the collector from the command line.

Création du fichier de configuration du collecteurCreating the collector configuration file

Lorsque vous activez le service, trois fichiers de configuration XML sont créés et stockés dans c:\ProgramData\Microsoft\BootEventCollector\Config:When you enable the service, three XML configuration files are created and stored in c:\ProgramData\Microsoft\BootEventCollector\Config:

  • Active.XML Ce fichier contient la configuration active actuelle du service collecteur.Active.xml This file contains the current active configuration of the collector service. Directement après l’installation, ce fichier a le même contenu que Empty.xml.Right after installation, this file has the same contents as Empty.xml. Lorsque vous définissez une nouvelle configuration de collecteur, enregistrez-la dans ce fichier.When you set a new collector configuration you save it to this file.

  • Empty.XML Ce fichier contient les éléments de configuration minimale nécessaires définis avec leurs valeurs par défaut.Empty.xml This file contains the minimum configuration elements needed with their default values set. Il ne permet pas d'activer une collecte ; il permet uniquement au service collecteur de démarrer en mode inactif.It does not enable any collection; it only allows the collector service to start in an idle mode.

  • Example.XML Ce fichier fournit des exemples et des explications des éléments de configuration possibles.Example.xml This file provides examples and explanations of the possible configuration elements.

Choix d’une limite de taille de fichierChoosing a file size limit

Parmi les décisions que vous devez faire, vous devez définir une limite de taille de fichier.One of the decisions you have to make is to set a file size limit. La limite de taille de fichier la plus adaptée varie en fonction du volume prévu des événements et l'espace disque disponible.The best file size limit depends on the expected volume of events and available disk space. Les fichiers plus petits sont plus pratiques pour le nettoyage des anciennes données.Smaller files are more convenient from the standpoint of cleaning the old data. Toutefois, chaque fichier contient la surcharge d’un en-tête 64 Ko et la lecture de nombreux fichiers pour obtenir l’historique combiné peut être gênante.However, each file carries with it the overhead of a 64KB header and reading many files to get the combined history might be inconvenient. La limite de taille de fichier minimale absolue est de 256 Ko.The absolute minimum file size limit is 256 KB. La limite raisonnable pour une taille de fichier pratique doit être supérieure à 1 Mo, et 10 Mo est probablement la valeur type correcte.A reasonable practical file size limit should be over 1 MB, and 10 MB is probably a good typical value. Une limite supérieure peut être raisonnable si vous prévoyez de nombreux événements.A higher limit might be reasonable if you expect many events.

Plusieurs détails sont à prendre en compte concernant le fichier de configuration :There are several details to keep in mind regarding the configuration file:

  • L’adresse de l’ordinateur cible.The target computer address. Vous pouvez utiliser son adresse IPv4, une adresse MAC ou un GUID SMBIOS.You can use its IPv4 address, a MAC address, or a SMBIOS GUID. Tenez compte de ces facteurs lors du choix de l’adresse à utiliser :Keep these factors in mind when choosing the address to use:

    • L’adresse IPv4 fonctionne mieux avec une affectation statique des adresses IP.The IPv4 address works best with static assignment of the IP addresses. Toutefois, même les adresses IP statiques doivent être disponibles via DHCP.However, even static IP addresses must be available through DHCP.

    • L'adresse MAC ou le GUID SMBIOS est pratique lorsqu’ils sont connus à l’avance, mais les adresses IP sont attribuées dynamiquement.A MAC address or SMBIOS GUID is convenient when they are known in advance but the IP addresses are assigned dynamically.

    • Les adresses IPv6 ne sont pas prises en charge par le protocole EVENT-NET.IPv6 addresses are not supported by the EVENT-NET protocol.

    • Il est possible de spécifier plusieurs façons d'identifier l’ordinateur.It is possible to specify multiple ways to identify the computer. Par exemple, si le matériel physique est sur le point d’être remplacé, vous pouvez entrer l’ancienne et la nouvelle adresse MAC et l'une ou l'autre sera acceptée.For example, if the physical hardware is about to be replaced, you can enter both the old and the new MAC addresses, and either will be accepted.

  • Clé de chiffrement utilisée pour la communication avec l’ordinateur collecteurThe encryption key used for the communication with the collector computer

  • Nom de l’ordinateur cible.The name of the target computer. Vous pouvez utiliser l’adresse IP, le nom d’hôte ou tout autre nom comme nom d’ordinateur.You can use the IP address, host name, or any other name as the computer name.

  • Nom du fichier ETL à utiliser et configuration de la taille d'anneau pour celui-ciThe name of the ETL file to use and the ring size configuration for it

Pour créer le fichier de configurationTo create the configuration file
  1. Ouvrez une invite Windows PowerShell avec élévation de privilèges et accédez au répertoire %SystemDrive%\ProgramData\Microsoft\BootEventCollector\Config.Open an elevated Windows PowerShell prompt and change directories to %SystemDrive%\ProgramData\Microsoft\BootEventCollector\Config.

  2. Tapez notepad .\newconfig.xml et appuyez sur ENTRÉE.Type notepad .\newconfig.xml and press ENTER.

  3. Copiez cet exemple de configuration dans la fenêtre du Bloc-notes :Copy this example configuration into the Notepad window:

    <collector configVersionMajor="1" statuslog="c:\ProgramData\Microsoft\BootEventCollector\Logs\statuslog.xml">  
      <common>  
        <collectorport value="50000"/>  
        <forwarder type="etl">  
          <set name="file" value="c:\ProgramData\Microsoft\BootEventCollector\Etl\{computer}\{computer}_{#3}.etl"/>  
          <set name="size" value="10mb"/>  
          <set name="nfiles" value="10"/>  
          <set name="toxml" value="none"/>  
        </forwarder>  
        <target>  
          <ipv4 value="192.168.1.1"/>  
          <key value="a.b.c.d"/>  
          <computer value="computer1"/>  
        </target>  
        <target>  
          <ipv4 value="192.168.1.2"/>  
          <key value="d1.e2.f3.g4"/>  
          <computer value="computer2"/>  
        </target>  
      </common>  
    </collector>  
    

    Notes

    Le nœud racine est <> du collecteur.The root node is <collector>. Ses attributs spécifient la version de la syntaxe du fichier de configuration et le nom du fichier journal d'état.Its attributes specify the version of the configuration file syntax and the name of the status log file.

    Le <des groupes d’éléments de > communs ensemble plusieurs cibles spécifiant les éléments de configuration communs pour eux, de manière très similaire à un groupe d’utilisateurs qui peut être utilisé pour spécifier les autorisations communes pour plusieurs utilisateurs.The <common> element groups together multiple targets specifying the common configuration elements for them, very much like a user group can be used to specify the common permissions for multiple users.

    L’élément <collectorport > définit le numéro de port UDP dans lequel le collecteur doit écouter les données entrantes.The <collectorport> element defines the UDP port number where the collector will listen for incoming data. Il s’agit du même port que celui spécifié dans l’étape de configuration cible pour Bcdedit.This is the same port as was specified in the target configuration step for Bcdedit. Le collecteur ne prend en charge qu’un seul port et toutes les cibles doivent se connecter au même port.The collector supports only one port and all the targets must connect to the same port.

    L’élément <redirecteur > spécifie la manière dont les événements ETW reçus des ordinateurs cibles seront transférés.The <forwarder> element specifies how ETW events received from the target computers will be forwarded. Il n'existe qu’un seul type de redirecteur, qui les écrit dans les fichiers ETL.There is only one type of forwarder, which writes them to the ETL files. Les paramètres spécifient le modèle de nom de fichier, la limite de taille pour chaque fichier dans l’anneau et la taille de l’anneau pour chaque ordinateur.The parameters specify the file name pattern, the size limit for each file in the ring, and the size of the ring for each computer. Le paramètre « toxml » spécifie que les événements ETW seront écrits sous forme binaire tels qu'ils ont été reçus, sans conversion en XML.The setting "toxml" specifies that the ETW events will be written in the binary form as they were received, without conversion to XML. Consultez la section « Conversion des événements en XML » pour plus d’informations sur le choix de conférer les événements au format XML ou non.See the "XML event conversion" section for information about deciding whether to confer the events to XML or not. Le modèle de nom de fichier contient les remplacements suivants : {computer} pour le nom d’ordinateur et {#3} pour l’index du fichier de l’anneau.The file name pattern contains these substitutions: {computer} for the computer name and {#3} for the index of file in the ring.

    Dans cet exemple de fichier, deux ordinateurs cibles sont définis avec l’élément <target >.In this example file, two target computers are defined with the <target> element. Chaque définition spécifie l’adresse IP avec <> IPv4, mais vous pouvez également utiliser l’adresse MAC (par exemple, < Mac value = "11:22:33:44:55:66"/> ou < valeur Mac = "11-22-33-44-55-66"/>) ou le GUID SMBIOS (par exemple, < Guid value = "{269076F9-4B77-46E1-B03B-CA5003775B88}"/>) pour identifier l’ordinateur cible.Each definition specifies the IP address with <ipv4>, but you could also use the MAC address (for example, <mac value="11:22:33:44:55:66"/> or <mac value="11-22-33-44-55-66"/>) or SMBIOS GUID (for example, <guid value="{269076F9-4B77-46E1-B03B-CA5003775B88}"/>) to identify the target computer. Notez également la clé de chiffrement (la même que celle qui a été spécifiée ou générée avec Bcdedit sur l’ordinateur cible) et le nom de l’ordinateur.Also note the encryption key (the same as was specified or generated with Bcdedit on the target computer), and the computer name.

  4. Entrez les détails de chaque ordinateur cible sous la forme d’un élément distinct <target > dans le fichier de configuration, puis enregistrez newconfig. xml et fermez le bloc-notes.Enter the details for each target computer as a separate <target> element in the configuration file, and then save Newconfig.xml and close Notepad.

  5. Appliquez la nouvelle configuration avec $result = (Get-Content .\newconfig.xml | Set-SbecActiveConfig); $result.Apply the new configuration with $result = (Get-Content .\newconfig.xml | Set-SbecActiveConfig); $result. La sortie doit revenir avec le champ Réussite « true ».The output should return with the Success field "true." Si vous obtenez un autre résultat, voir la section Résolution des problèmes de cette rubrique.If you get another result, see the Troubleshooting section of this topic.

Vous pouvez toujours vérifier la configuration active avec (Get-SbecActiveConfig).text.You can always check the current active configuration with (Get-SbecActiveConfig).text.

Vous pouvez effectuer une vérification de validité sur le fichier de configuration avec $result = (Get-Content .\newconfig.xml | Check-SbecConfig); $result.You can perform a validity check on the configuration file with $result = (Get-Content .\newconfig.xml | Check-SbecConfig); $result.

Bien que la commande Windows PowerShell pour appliquer une nouvelle configuration met automatiquement à jour le service sans que vous ayez besoin de le redémarrer, vous pouvez toujours redémarrer le service vous-même à l'aide d'une de ces commandes :Though the Windows PowerShell command to apply a new configuration automatically updates the service without requiring you to restart it, you can always restart the service yourself with either of these commands:

  • Avec Windows PowerShell : Restart-Service BootEventCollectorWith Windows PowerShell: Restart-Service BootEventCollector

  • Dans une invite de commandes ordinaire : sc stop BootEventCollector; sc start BootEventCollectorIn an ordinary command prompt: sc stop BootEventCollector; sc start BootEventCollector

Configuration de Nano Server comme ordinateur cibleConfiguring Nano Server as a target computer

L’interface minimale offerte par Nano Server rend parfois difficile le diagnostic des problèmes.The minimal interface offered by Nano Server can sometimes make it hard to diagnose issues with it. Vous pouvez configurer votre image Nano Server pour participer automatiquement à la collecte d’événements de configuration et de démarrage, en envoyant des données de diagnostic sur un ordinateur collecteur, sans autre intervention de votre part.You can configure your Nano Server image to participate in Setup and Boot Event Collection automatically, sending diagnostic data to a collector computer without further intervention from you. Pour cela, procédez comme suit:To do this, follow these steps:

Pour configurer Nano Server comme ordinateur cibleTo configure Nano Server as a target computer

  1. Créez votre image Nano Server de base.Create your basic Nano Server image. Pour plus d’informations, voir Prise en main de Nano Server.See Getting Started with Nano Server for details.

  2. Configurez un ordinateur collecteur comme dans la section « Configuration de l’ordinateur collecteur » de cette rubrique.Set up a collector computer as in the "Configuring the collector computer" section of this topic.

  3. Ajoutez des clés de Registre du Journal automatique pour permettre l’envoi de messages de diagnostic.Add AutoLogger registry keys to enable sending diagnostic messages. Pour ce faire, montez le disque dur virtuel de Nano Server créé à l’étape 1, chargez la ruche du Registre, puis ajoutez certaines clés de Registre.To do this, you mount the Nano Server VHD created in Step 1, load the registry hive, and then add certain registry keys. Dans cet exemple, l’image Nano Server est dans C:\NanoServer ; votre chemin d’accès peut être différent, donc ajustez les étapes en conséquence.In this example, the Nano Server image is in C:\NanoServer; your path might be different, so adjust the steps accordingly.

    1. Sur l’ordinateur collecteur, copiez le dossier ..\Windows\System32\WindowsPowerShell\v1.0\Modules\BootEventCollector et collez-le dans le répertoire ..\Windows\System32\WindowsPowerShell\v1.0\Modules sur l’ordinateur que vous utilisez pour modifier le disque dur virtuel de Nano Server.On the collector computer, copy the ..\Windows\System32\WindowsPowerShell\v1.0\Modules\BootEventCollector folder and paste it into the ..\Windows\System32\WindowsPowerShell\v1.0\Modules directory on the computer you are using to modify the Nano Server VHD.

    2. Démarrez la console Windows PowerShell avec des autorisations élevées et exécutez Import-Module BootEventCollector.Start a Windows PowerShell console with elevated permissions and run Import-Module BootEventCollector .

    3. Mettez à jour le Registre du disque dur virtuel de Nano Server pour activer les Journaux automatiques.Update the Nano Server VHD registry to enable AutoLoggers. Pour ce faire, exécutez Enable-SbecAutoLogger -Path C:\NanoServer\Workloads\IncludingWorkloads.vhd.To do this, run Enable-SbecAutoLogger -Path C:\NanoServer\Workloads\IncludingWorkloads.vhd. Cette opération ajoute une liste de base des événements de configuration et de démarrage les plus classiques ; vous pouvez en rechercher d’autres dans Contrôle des sessions de suivi d’événements.This adds a basic list of the most typical setup and boot events; you can research others at Controlling Event Tracing Sessions.

  4. Mettez à jour les paramètres BCD de l’image Nano Server pour activer l’indicateur d’événements et configurez l’ordinateur collecteur pour assurer l'envoi des événements de diagnostic au serveur adéquat.Update BCD settings in the Nano Server image to enable the Events flag and set the collector computer to ensure diagnostic events are sent to the right server. Notez l’adresse IPv4 de l’ordinateur collecteur, le port TCP et la clé de chiffrement que vous avez configurés dans le fichier Active.XML du collecteur (décrit ailleurs dans cette rubrique).Note the collector computer's IPv4 address, TCP port, and encryption key you configured in the collector's Active.XML file (described elsewhere in this topic). Utilisez cette commande dans une console Windows PowerShell avec des autorisations élevées : Enable-SbecBcd -Path C:\NanoServer\Workloads\IncludingWorkloads.vhd -CollectorIp 192.168.100.1 -CollectorPort 50000 -Key a.b.c.dUse this command in a Windows PowerShell console with elevated permissions: Enable-SbecBcd -Path C:\NanoServer\Workloads\IncludingWorkloads.vhd -CollectorIp 192.168.100.1 -CollectorPort 50000 -Key a.b.c.d

  5. Mettez à jour l’ordinateur collecteur pour recevoir les événements envoyés par l’ordinateur Nano Server en ajoutant la plage d’adresses IPv4, l’adresse IPv4 spécifique ou l’adresse MAC de Nano Server au fichier Active.XML sur l’ordinateur collecteur (voir la section « Configuration de l’ordinateur collecteur » de cette rubrique).Update the collector computer to receive event sent by the Nano Server computer by adding either the IPv4 address range, the specific IPv4 address, or the MAC address of the Nano Server to the Active.XML file on the collector computer (see the "Configuring the collector computer" section of this topic).

Démarrage du service de collecteur d’événementsStarting the event collector service

Une fois qu'un fichier de configuration valide est enregistré sur l’ordinateur collecteur et qu'un ordinateur cible est configuré, dès le redémarrage de l’ordinateur cible, la connexion avec le collecteur est établie et les événements sont collectés.Once a valid configuration file is saved on the collector computer and a target computer is configured, as soon as the target computer is restarted, the connection to the collector is made and events will be collected.

Vous trouverez le journal du service collecteur proprement dit (c'est-à-dire distinct des données de configuration et de démarrage collectées par le service) sous Microsoft-Windows-BootEvent-Collector/Admin.The log for the collector service itself (which is distinct from the setup and boot data collected by the service) can be found under Microsoft-Windows-BootEvent-Collector/Admin . Pour une interface graphique des événements, utilisez l’Observateur d’événements.For a graphical interface for the events, use Event Viewer. Créez un nouvel affichage ; développez Journaux des applications et des services, puis développez Microsoft et Windows.Create a new view; expand Applications and Services Logs, then expand Microsoft and then Windows. Trouvez BootEvent-Collector, développez-le et recherchez Admin.Find BootEvent-Collector, expand it, and find Admin.

  • Avec Windows PowerShell : Get-WinEvent -LogName Microsoft-Windows-BootEvent-Collector/AdminWith Windows PowerShell: Get-WinEvent -LogName Microsoft-Windows-BootEvent-Collector/Admin

  • Dans une invite de commandes ordinaire : wevtutil qe Microsoft-Windows-BootEvent-Collector/AdminIn an ordinary command prompt: wevtutil qe Microsoft-Windows-BootEvent-Collector/Admin

Résolution des problèmesTroubleshooting

Résolution des problèmes d’installation de la fonctionnalitéTroubleshooting installation of the feature

ErreurError Description de l’erreurError description SymptômeSymptom Problème potentielPotential problem
Dism.exeDism.exe 8787 L’option du nom de la fonctionnalité n’est pas reconnue dans ce contexteThe feature-name option is not recognized in this context - Cela peut se produire si le nom de la fonctionnalité a été mal orthographié.- This can happen if you misspell the feature name. Vérifiez que vous l'avez correctement orthographié et réessayez.Verify that you have the correct spelling and try again.
- Vérifiez que cette fonctionnalité est disponible sur la version du système d’exploitation que vous utilisez.- Confirm that this feature is available on the operating system version you are using. Dans Windows PowerShell, exécutez dism /online /get-features | ?{$_ -match "boot"} .In Windows PowerShell, run dism /online /get-features | ?{$_ -match "boot"}. Si aucune correspondance n’est renvoyée, vous exécutez probablement une version qui ne prend pas en charge cette fonctionnalité.If no match is returned, you're probably running a version that doesn't support this feature.
Dism.exeDism.exe 0x800f080c0x800f080c Le nom de la <de fonctionnalités > est inconnu.Feature <name> is unknown. Comme ci-dessusSame as above

Résolution des problèmes du collecteurTroubleshooting the collector

FermetureLogging:
Le collecteur enregistre ses propres événements en tant que fournisseur ETW Microsoft-Windows-BootEvent-Collector.The Collector logs its own events as ETW provider Microsoft-Windows-BootEvent-Collector. C'est là que vous devez rechercher en premier pour résoudre les problèmes du collecteur.It's the first place you should look for troubleshooting problems with the collector. Vous pouvez les trouver dans l’Observateur d’événements sous Journaux des applications et des services > Microsoft > Windows > BootEvent-Collector > Admin, ou les lire dans une fenêtre de commande avec une de ces commandes :You can find them in Event Viewer under Applications and Services Logs > Microsoft > Windows > BootEvent-Collector > Admin, or you can read them in a command window with either of these commands:

Dans une invite de commandes ordinaire : wevtutil qe Microsoft-Windows-BootEvent-Collector/AdminIn an ordinary command prompt: wevtutil qe Microsoft-Windows-BootEvent-Collector/Admin

Dans une invite de commandes Windows PowerShell : Get-WinEvent -LogName Microsoft-Windows-BootEvent-Collector/Admin (vous pouvez ajouter -Oldest pour renvoyer la liste dans l’ordre chronologique avec les événements les plus anciens en premier)In a Windows PowerShell prompt: Get-WinEvent -LogName Microsoft-Windows-BootEvent-Collector/Admin (you can append -Oldest to return the list in chronological order with oldest events first)

Vous pouvez ajuster le niveau de détail dans les journaux avec « erreur », « avertissement », « Info » (par défaut), « détaillé » et « débogage ».You can adjust the level of detail in the logs from "error," through "warning," "info" (the default), "verbose," and "debug." Les niveaux plus détaillés que « info » sont utiles pour diagnostiquer les problèmes liés aux ordinateurs cible qui ne se connectent pas, mais ils peuvent générer une grande quantité de données. Par conséquent, utilisez-les avec précaution.More detailed levels than "info" are useful for diagnosing problems with target computers not connecting, but they might generate a large amount of data, so use them with care.

Vous définissez le niveau de journalisation minimale dans l’élément > du collecteur de <du fichier de configuration.You set the minimum log level in the <collector> element of the configuration file. Par exemple : < Collector configVersionMajor = "1" minlog="Verbose" >.For example: <collector configVersionMajor="1" minlog="verbose">.

Le niveau détaillé consigne un enregistrement pour chaque paquet reçu comme il est traité.The verbose level logs a record for every packet received as it is processed. Le niveau de débogage ajoute davantage de détails sur le traitement et vide également le contenu de tous les paquets ETW reçus.The debug level adds more processing detail and dumps the contents of all received ETW packets as well.

Au niveau débogage, il peut être utile d’écrire le journal dans un fichier plutôt que d’essayer de l’afficher dans le système de journalisation habituel.At the debug level, it might be useful to write the log into a file rather than trying to view it in the usual logging system. Pour ce faire, ajoutez un élément supplémentaire dans le <collecteur > élément du fichier de configuration :To do this, add an additional element in the <collector> element of the configuration file:

< Collector configVersionMajor = "1" minlog = "debug" log="c:\ProgramData\Microsoft\BootEventCollector\Logs\log.txt" ><collector configVersionMajor="1" minlog="debug" log="c:\ProgramData\Microsoft\BootEventCollector\Logs\log.txt">

Une approche suggérée pour dépanner le collecteur :A suggested approach to troubleshooting the Collector:

  1. Tout d’abord, vérifiez que le collecteur a reçu la connexion de la cible (il crée le fichier uniquement lorsque la cible commence à envoyer les messages) avecFirst of all, verify that the collector has received the connection from the target (it will create the file only when the target starts sending the messages) with

    Get-SbecForwarding  
    

    Si une connexion à cette cible est retournée, le problème vient peut être des paramètres du Journal automatique.If it returns that there is a connection from this target then the problem might be in the autologger settings. Si rien n'est renvoyé, le problème vient d’abord de la connexion KDNET.If it returns nothing, the problem is with the KDNET connection to start with. Pour diagnostiquer les problèmes de connexion KDNET, essayez de vérifier la connexion aux deux extrémités (autrement dit, le collecteur et la cible).To diagnose KDNET connection problems, try checking the connection from both ends (that is, from the collector and from the target).

  2. Pour afficher les diagnostics étendus à partir du collecteur, ajoutez-le à l’élément > du collecteur de <du fichier de configuration :To see extended diagnostics from the Collector, add this to the <collector> element of the configuration file:
    collecteur de <... minlog = "Verbose" ><collector ... minlog="verbose">
    Cela activera les messages sur tous les paquets reçus.This will enable messages about every received packet.

  3. Vérifiez si des paquets sont reçus.Check whether any packets are received at all. Si vous le souhaitez, vous pouvez écrire le journal en mode détaillé directement dans un fichier plutôt que via ETW.Optionally, you might want to write the log in verbose mode directly to a file rather than through ETW. Pour ce faire, ajoutez-le à l’élément > du collecteur de <du fichier de configuration :To do this, add this to the <collector> element of the configuration file:
    collecteur de <... minlog = "Verbose" log = "c:\ProgramData\Microsoft\BootEventCollector\Logs\log.txt" ><collector ... minlog="verbose" log="c:\ProgramData\Microsoft\BootEventCollector\Logs\log.txt">

  4. Vérifiez si des messages sur les paquets reçus se trouvent dans les journaux des événements.Check the event logs for any messages about the received packets. Vérifiez si des paquets sont reçus.Check whether any packets are received at all. Si les paquets sont reçus mais sont incorrects, vérifiez les messages d’événements pour plus d’informations.If the packets are received but incorrect, check event messages for details.

  5. À partir du côté cible, KDNET écrit des informations de diagnostic dans le Registre.From the target side, KDNET writes some diagnostic information into the registry. ConsulterLook in
    HKLM\SYSTEM\CurrentControlSet\Services\kdnet si des messages s'y trouvent.HKLM\SYSTEM\CurrentControlSet\Services\kdnet for messages.
    KdInitStatus (DWORD) = 0 en cas de réussite et affiche un code d’erreur en cas d’erreurKdInitStatus (DWORD) will = 0 on success and show an error code on error
    KdInitErrorString = explication de l’erreur (contient également des messages d’information s'il n'y a aucune erreur)KdInitErrorString = explanation of the error (also contains informational messages if no error)

  6. Exécutez Ipconfig.exe sur la cible et vérifiez le nom du périphérique qu'il indique.Run Ipconfig.exe on the target and check for the device name it reports. Si KDNET s'est chargé correctement, le nom du périphérique doit ressembler à « kdnic » au lieu du nom de la carte du fournisseur d’origine.If KDNET loaded properly, the device name should be something like "kdnic" instead of the original vendor's card name.

  7. Vérifiez si DHCP est configuré pour la cible.Check whether DHCP is configured for the target. KDNET nécessite absolument DHCP.KDNET absolutely requires DHCP.

  8. Vérifiez que le collecteur est sur le même réseau que la cible.Confirm that the collector is on the same network as the target. Dans le cas contraire, vérifiez si le routage est configuré correctement, notamment le paramètre de passerelle par défaut pour DHCP.If not, check whether the routing is configured correctly, especially the default gateway setting for DHCP.

État de la connexionConnection status

Vous pouvez consulter la liste actuelle des connexions établies et des informations sur l'emplacement vers lequel les données sont transférées avec Get-SbecForwarding.You can check the current list of established connections and information on where the data is being forwarded with Get-SbecForwarding.

Vous pouvez également obtenir l’historique récent des modifications de statut dans les connexions avec Get-SbecHistory.You can also get the recent history of status changes in connections with Get-SbecHistory.

Résolution des problèmes de définition d’une nouvelle configurationTroubleshooting setting a new configuration

Si vous avez appliqué la configuration avec la commande Windows PowerShell $result = (Get-Content .\newconfig.xml | Set-SbecActiveConfig); $result, la variable $result contient des informations sur le déploiement.If you applied the configuration with the Windows PowerShell command $result = (Get-Content .\newconfig.xml | Set-SbecActiveConfig); $result, then the variable $result will contain information about the deployment. Vous pouvez interroger cette variable pour en obtenir différentes informations :You can query this variable to get different information out of it:

Obtenez des informations sur les erreurs avec $result.ErrorString.Get information about errors with $result.ErrorString. Si des erreurs sont signalées ici, la nouvelle configuration n'a pas été appliquée et l’ancienne configuration est inchangée.If any errors are reported here, the new configuration will not have been applied and the old configuration will be unchanged.

Obtenez des avertissements avec $result.WarningString.Get warnings with $result.WarningString.

Obtenez des informations sur les détails de la configuration avec $result.InfoString.Get information on the details of the configuration with $result.InfoString.

Vous pouvez obtenir le résultat complet avec $result | fl *.You can get the complete result with $result | fl *.
Si vous ne souhaitez pas enregistrer le résultat dans une variable, vous pouvez également utiliser Get-Content .\newconfig.xml | Set-SbecActiveConfig | fl *.Alternately, if you don't want to save the result in a variable, you can use Get-Content .\newconfig.xml | Set-SbecActiveConfig | fl *.

Résolution des problèmes d’ordinateurs ciblesTroubleshooting target computers

ErreurError Description de l’erreurError description SymptômeSymptom Problème potentielPotential problem
Ordinateur cibleTarget computer La cible se connecte pas au collecteurTarget is not connecting to the Collector - L’ordinateur cible n’a pas été redémarré une fois configuré.- The target computer didn't get restarted after it was configured. Redémarrez l’ordinateur cible.Restart the target computer.
- L’ordinateur cible comporte des paramètres BCD incorrects.- The target computer has incorrect BCD settings. Vérifiez les paramètres dans la section « Valider les paramètres de l’ordinateur cible ».Check the settings in the "Validate target computer settings" section. Corriger si nécessaire, puis redémarrez l’ordinateur cible.Correct as necessary, and then restart the target computer.
- Le pilote de KDNET/EVENT-NET n’a pas pu se connecter à une carte réseau ou s'est connecté à la mauvaise carte réseau.- The KDNET/EVENT-NET driver was not able to connect to a network adapter or connected to the wrong network adapter. Dans Windows PowerShell, exécutez gwmi Win32_NetworkAdapter et vérifiez la sortie avec le ServiceName kdnic.In Windows PowerShell, run gwmi Win32_NetworkAdapter and check the output for one with the ServiceName kdnic. Si la mauvaise carte réseau est sélectionnée, refaites les étapes décrites dans « Pour spécifier une carte réseau ».If the wrong network adapter is selected, re-do the steps in "To specify a network adapter." Si la carte réseau n’apparaît pas du tout, il se peut que le pilote ne prend en charge aucune de vos cartes réseau.If the network adapter doesn't appear at all, it could be that the driver doesn't support any of your network adapters.
Voir aussi « Méthode suggérée pour résoudre les problèmes de collecteur » ci-dessus, en particulier les étapes 5 à 8.See also "A suggested approach to troubleshooting the Collector" above, especially Steps 5 through 8.
CollecteurCollector Je ne vois plus aucun événement après la migration de la machine virtuelle sur laquelle mon collecteur est hébergé.I am no longer seeing events after migrating the VM my collector is hosted on. Vérifiez que l’adresse IP de l’ordinateur collecteur n’a pas changé.Verify that the IP address of the collector computer has not changed. Si tel est le cas, consultez « Pour activer l’envoi des événements ETW via le transport à distance ».If it has, review "To enable sending of ETW events through the transport remotely."
CollecteurCollector Les fichiers ETL ne sont pas créés.The ETL files are not created. Get-SbecForwarding indique que la cible est connectée, sans erreur, mais que les fichiers ETL ne sont pas créés.Get-SbecForwarding shows that the target has connected, with no errors, but the ETL files are not created. L’ordinateur cible n'a probablement pas encore envoyé toutes les données ; les fichiers ETL ne sont créés que lors de la réception de données.The target computer has probably not sent any data yet; ETL files are only created when data is received.
CollecteurCollector Un événement n’est pas visible dans le fichier ETL.An event is not showing in the ETL file. L’ordinateur cible a envoyé un événement, mais lorsque le fichier ETL est lu avec l’Observateur d’événements de l’Analyseur de messages, l’événement n’est pas présent.The target computer has sent an event but when the ETL file is read with Event Viewer of Message Analyzer, the event is not present. - L’événement peut encore se trouver dans la mémoire tampon.- The event could still be in the buffer. Les événements ne sont pas écrits dans le fichier ETL tant qu'une mémoire tampon complète de 64 Ko n'est pas collectée ou avant un délai d’environ 10 à 15 secondes sans qu'aucun nouvel événement ne se produise.Events aren't written to the ETL file until a full 64 KB buffer is collected or a timeout of about 10-15 seconds with no new events has occurred. Attendez l'expiration du délai ou videz les mémoires tampon avec Save-SbecInstance.Either wait for the timeout to expire or flush the buffers with Save-SbecInstance.
- Le manifeste de l’événement n’est pas disponible sur l’ordinateur collecteur ou l’ordinateur sur lequel s’exécute l’Observateur d’événements ou l’Analyseur de messages.- The event manifest is not available on the collector computer or the computer where the Event Viewer or Message Analyzer runs. Dans ce cas, le collecteur peut ne pas être en mesure de traiter l’événement (vérifiez le journal du collecteur) ou la visionneuse ne parvient peut-être pas à l'afficher.In this case, the Collector might not be able to process the event (check the Collector log) or the viewer might not be able to show it. Il est recommandé d’installer tous les manifestes sur l’ordinateur collecteur et d'installer les mises à jour sur l’ordinateur collecteur avant de les installer sur les ordinateurs cibles.It is a good practice to have all the manifests installed on the collector computer and install updates on the collector computer before installing them on the target computers.