Atividade WMI de rastreamento

  • Artigo
  • 5 minutos para ler

A partir do Windows Vista, o serviço WMI não usa os Arquivos de Log do WMI. Em vez disso, ele usa o EtW (Rastreamento de Eventos para Windows) e os eventos estão disponíveis por meio de Visualizador de Eventos ou da ferramenta de linha de comando Wevtutil.

As seções a seguir são discutidas neste tópico:

Obtendo eventos WMI por meio de Visualizador de Eventos

O arquivo WMITracing.log contém os eventos que o WMI rastreia. No entanto, esse é um arquivo binário. Para ver esses eventos em um formato legível por humanos, use o Visualizador de Eventos.

Por padrão, os eventos WMI não são rastreados. Este procedimento descreve como usar Visualizador de Eventos para habilitar o rastreamento de eventos WMI e localizar eventos WMI. Você pode fazer as mesmas operações por meio da ferramenta de linha de comando wevtutil.

Para exibir eventos WMI no Visualizador de Eventos

  1. Abra o Visualizador de Eventos. No menu Exibir , clique em Mostrar Logs de Análise e Depuração. Localize o log do canal de rastreamento para WMI em Aplicativos e Logs de Serviço | Microsoft | Windows | Atividade WMI.
  2. Clique com o botão direito do mouse no log de rastreamento e selecione Propriedades do Log. Clique na caixa de seleção Habilitar Registro em Log para iniciar o rastreamento de eventos WMI. Para obter mais informações sobre canais, consulte Logs de Eventos e Canais no Log de Eventos do Windows.
  3. Os eventos WMI aparecem na janela de eventos para WMI-Activity. Clique duas vezes em um evento na lista para ver as informações detalhadas. Você pode exibir um evento no Modo de Exibição XML ou no formato Modo de Exibição Amigável .

O campo ID do Evento exibe um valor que contém as informações a seguir.

Evento 1

Início da sequência de eventos para uma operação específica. Uma ocorrência para cada sequência.

Os campos de evento para um Evento 1 são:

  • GroupOperationID é um identificador exclusivo que é usado para todos os eventos relatados para um cliente específico.
  • OperationId indica a sequência de operações.
  • A operação especifica a conexão ou a solicitação ao WMI.
  • O usuário indica a conta que faz uma solicitação ao WMI executando um script ou por meio do CIM Studio.
  • O namespace mostra o namespace WMI ao qual a conexão é feita.

Por exemplo, um script pode solicitar todas as instâncias de uma classe WMI, como Win32_Service. A primeira operação pode ser uma conexão com o WMI.

Evento 2

Eventos que compõem a operação. Uma ou mais ocorrências na sequência.

Os campos de evento para um Evento 2 são:

  • GroupOperationID indica a sequência na qual o evento ocorre.
  • GroupOperationID indica a sequência na qual o evento ocorre.
  • ProviderName indica o nome do provedor que fornece os dados.
  • O caminho é o caminho WMI para o objeto.

Por exemplo, a operação pode ser uma enumeração de Win32_Service.

Evento 3

Fim da sequência de eventos para uma operação específica. Uma ocorrência para cada sequência.

Somente GroupOperationID é mostrado.

Habilitando o rastreamento do WMI no prompt de comando

Você também pode habilitar o rastreamento de eventos WMI por meio da ferramenta de linha de comando Wevtutil. Use o seguinte comando: Wevtutil.exe sl Microsoft-Windows-WMI-Activity/Trace /e:true. A origem do evento WMI é Microsoft-Windows-WMI. Para obter mais informações sobre Wevtutil.exe, consulte Sobre Windows Log de Eventos.

Usando o rastreamento WMI baseado em WPP

Em Windows sistemas operacionais começando com Windows Vista, o WMI cria um canal de rastreamento ativo durante o processo de inicialização. O nome do canal é WMI_Trace_Session. Somente erros são registrados no canal.

O WPP (pré-processador de rastreamento de software) Windows registra informações em um arquivo binário. Para ler o arquivo, primeiro você deve convertê-lo em um formato de texto legível. Você usa uma ferramenta chamada tracefmt.exe do WDK (Windows Driver Kit) para fazer a tradução. A ferramenta requer informações armazenadas em alguns arquivos associados. Os arquivos estão localizados no diretório %SystemRoot%\System32\wbem\tmf e têm uma extensão de nome de arquivo .tmf. Na verdade, a ferramenta requer um único arquivo .tmf. Você faz esse único arquivo concatenando todos os arquivos .tmf em outro arquivo .tmf. Para obter mais informações sobre arquivos .tmf, consulte Arquivo de Formato de Mensagem de Rastreamento.

Depois de instalar o WDK (Windows Driver Kit) para obter as ferramentas de linha de comando tracelog.exe e tracefmt.exe, execute as etapas a seguir para coletar um rastreamento WMI baseado em WPP.

Para exibir um rastreamento WMI baseado em WPP

  1. Para criar o único arquivo .tmf, abra uma janela do Prompt de Comando com privilégios elevados e navegue até o diretório %SystemRoot%\System32\wbem\tmf.

  2. Digite copy /y %SystemRoot%\System32\wbem\tmf\*.tmf %SystemRoot%\System32\wbem\tmf\wmi.tmf. Isso criará um arquivo chamado wmi.tmf que inclui o conteúdo de todos os outros arquivos .tmf.

  3. Tipo tracelog -flush WMI_Trace_Session. Isso liberará os buffers do WPP no disco.

  4. Conjunto de tipos TRACE_FORMAT_PREFIX = [%9!d!] %8!04X!. %3!04X!. %3!04X!::%4!s! [%1!s!] (%! COMPNAME!:%! FUNC !:%2!s!). A ferramenta tracefmt adiciona algumas informações padrão a cada mensagem de rastreamento. Você pode configurar quais informações estão incluídas definindo a variável de ambiente TRACE_FORMAT_PREFIX. Para saber mais sobre a sintaxe usada, consulte o Prefixo de Mensagem de Rastreamento.

  5. Digite tracefmt -tmf %systemroot%\system32\wbem\tmf\wmi.tmf -o OUTPUT.TXT %systemroot%\system32\wbem\logs\WMITracing.log. Isso executa a tradução do formato binário para o formato de texto legível.

  6. Digite o bloco de notas %systemroot%\system32\wbem\tmf\OUTPUT.TXT. Isso abrirá o arquivo de rastreamento em Bloco de notas.

Veja a seguir algumas outras tarefas relacionadas ao WPP que talvez seja necessário executar.

Para interromper o rastreamento WMI baseado em WPP

  • Digite tracelog -stop WMI_Trace_Session.

Para iniciar o rastreamento WMI baseado em WPP

  • Digite tracelog -start WMI_Trace_Session -guid #1FF6B227-2CA7-40f9-9A66-980EADAA602E -rt -level 5 -flag 0x7 -f MYTRACE. BIN

Windows Vista: por padrão, o rastreamento WMI baseado em WPP é definido como nível 2, que inclui apenas mensagens de erro. Para incluir mensagens informativas também, defina o nível como 4. Todas as áreas do WMI são rastreadas por padrão. Há três áreas distintas que podem ser rastreadas: Core (flag=0x1), ESS (flag=0x2) e Prov (flag=0x4). No comando inicial acima, o sinalizador 0x7 faz com que todas as três áreas sejam rastreadas.

Windows 7: por padrão, o rastreamento WMI baseado em WPP está desabilitado e definido como nível 0. Para usar o rastreamento WMI baseado em WPP, esse recurso deve ser habilitado e definido como nível 2 para mensagens de erro ou nível 4 para mensagens informativas e de erro.

Para listar todas as sessões de rastreamento do WPP

  • Tracelog de tipo -l.

Para listar informações sobre a sessão de rastreamento WPP do WMI

  • Digite tracelog -l | findstr /i "wmi_trace".

Para exibir os parâmetros de sessão de rastreamento WPP do WMI

  • Tipo de tracelog -q WMI_Trace_Session.

Solução de problemas do WMI

Arquivos de log do WMI