Revue SMART DSI Connexion Newsletter
iTPro.fr

Actualités, Dossiers et Ressources IT Professionnelles - mardi 16 avril 2024

> Tech > Outils ETW

Outils ETW

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Dans Windows 2003, XP et Win2K, vous pouvez créer, gérer et présenter des sessions ETW de deux manières : avec le snap-in Microsoft Management Console (MMC) Performance Logs and Alerts, ou avec les utilitaires ligne de commande. Dans Windows 2003 et XP, l'OS inclut les utilitaires ligne de commande. Dans

Win2K, les utilitaires
ligne de commande font partie du
Microsoft Windows 2000 Server
Resource Kit et sont légèrement différents
de ceux de Windows 2003 et XP.
Dans le contexte de l’architecture
ETW, le snap-in Performance Logs and
Alerts et certains des utilitaires ligne de
commande sont des applications de
contrôle. Les autres utilitaires ligne de
commande jouent le rôle d’application
de consommation.
Les outils de XP sont pratiquement
identiques à  ceux de Windows 2003, à 
cela près que XP inclut moins de providers
externes. Par conséquent, bien
que les explications suivantes ne mentionnent
que les outils Windows 2003,
elles s’appliquent aussi à  XP.
Snap-in Performance Logs and
Alerts. Si vous démarrez le snap-in
Performance Logs and Alerts et si vous
naviguez jusqu’au noeud Trace Logs,
vous pouvez créer une nouvelle session
de trace en faisant un clic droit sur
le noeud et en sélectionnant New Log
Settings. Dès que vous avez donné un
nom à  la nouvelle session de journalisation,
la boîte de dialogue Properties
de la session apparaît. Sur l’onglet
General, vous pouvez choisir les providers
qui vous intéressent. Pour vous
simplifier la tâche, limitez le nombre
de providers choisis par session. Ainsi,
si vous devez journaliser des événements
kernel et des événements AD,
créez deux sessions de journalisation
distinctes. Il n’est pas facile d’interpréter
de grandes quantités de données
de trace. Par la suite, si nécessaire, des
outils Microsoft vous permettront de
combiner les rapports provenant de
deux sessions de providers.
Sur l’onglet General, vous pouvez
valider le tracing sur les mesures fournies
par le provider kernel Windows
(c’est-à -dire, le provider système) ou
par d’autres providers non-système enregistrés
sur le système. Vous pouvez,
par exemple, utiliser le provider kernel
Windows pour valider le tracing TCP/IP
réseau, comme le montre la figure 2. Si
vous voulez utiliser des providers nonsystème
pour valider le tracing, sélectionnez
l’option Nonsystem providers puis cliquez sur Add pour sélectionner
les providers. En cliquant sur Provider
Status, vous pouvez voir les providers
enregistrés dans le système courant.
Enfin, Windows 2003 et XP fournissent
tous deux une option Run As qui permet
d’exécuter la trace à  partir d’un ID
utilisateur différent de celui sous lequel
vous êtes actuellement connecté.
Sur l’onglet Log File, vous pouvez
changer le schéma de nommage du
journal et la manière dont le traceur
d’événements écrit les données de
trace dans le journal de trace. Vous
avez le choix entre deux types de journalisation
: séquentielle ou circulaire.
Avec la journalisation de trace séquentielle,
le traceur d’événements écrit les
données dans le journal jusqu’à  ce
qu’il la taille maximale que vous avez
indiquée. Si vous n’en indiquez pas, le
traceur d’événements continue la journalisation
jusqu’à  ce que le disque se
remplisse ou que vous arrêtiez la session
de journalisation. Avec la journalisation
de trace circulaire, le traceur
d’événements écrase les données
quand le journal atteint la taille maximale
spécifiée.
L’onglet Schedule vous permet de
définir une heure de début et de fin
pour la session de journalisation. Vous
pouvez aussi démarrer et arrêter manuellement
une session de journalisation
à  partir de l’UI du snap-in
Performance Logs and Alerts. Que la
session de journalisation soit démarrée
manuellement ou programmée,
elle utilise le service Performance Logs
and Alerts Windows pour effectuer la
journalisation de trace. Ce service
n’obéit qu’à  un administrateur ou à  un
compte équivalent, donc vous devez
vous connecter en utilisant un tel
compte. (Dans Windows 2003, vous
pouvez aussi être un membre du
groupe Performance Logs built-in.)
Sinon, la session de trace ne fonctionnera
pas.
Sur l’onglet Schedule, vous pouvez
aussi choisir d’exécuter un script après
l’arrêt d’une session de journalisation.
Vous pourriez, par exemple, vouloir
exécuter un script qui déplace le journal
dans un dossier différent de manière
à  pouvoir traiter les données du
journal ultérieurement.
L’onglet Advanced permet de
changer les paramètres par défaut
pour allouer les buffers du traceur
d’événements. Vous pouvez indiquer
une taille de buffer différente
ainsi que le
nombre minimum et
maximum de buffers à 
allouer. En ajustant
ces valeurs, il faut
trouver le bon compromis
entre capturer
les événements sans
en perdre et consommer
plus de mémoire.
Pour de gros volumes
de capture, comme
l’I/O fichier ou l’I/O reg
i s t r e , l a norme
semble être un buffer
de 128 Ko avec un minimum
de 50 buffers
et un maximum de
100. Mais vous devez
faire vos propres essais.
Utilitaires ligne de
commande. Pour démarrer une session
de trace à  partir de la ligne de
commande, il existe plusieurs possibilités,
malheureusement différentes selon
la version d’OS présente. Le kit de
ressources Win2K contient l’utilitaire
tracelog.exe qui permet de créer et de
gérer des sessions de trace pour le provider
kernel Windows. (Le kit de ressources
ne possède pas d’utilitaire
ligne de commande permettant de
créer et de gérer des sessions de trace
pour des providers non-système.)
Tracelog.exe permet aussi d’établir
une session de journalisation de trace
temporaire. Si vous le faites, vous ne
verrez pas cette session dans l’UI du
snap-in Performance Logs and Alerts.
La commande suivante utilise tracelog.
exe pour valider le tracing TCP/IP sur une boîte Win2K :

tracelog -start -noprocess nothread
-nodisk -b 128 -min 50 -max 100
-f c:\perflogs\netfile.etl

(Bien que cette commande occupe
plusieurs lignes ici, vous l’entrerez sur
une seule ligne quand vous la taperez
sur la ligne de commande. Il en sera de
même pour les autres commandes
multilignes de cet article.) La commande
Tracelog -start crée une session
de journalisation temporaire. Quand
tracelog.exe crée une session de trace,
il valide, par défaut, quatre types de
trace : création et suppression de processus,
création et suppression de
thread, TCP/IP réseau et I/O disque.
Comme vous voulez seulement la trace
TCP/IP, la commande inclut les paramètres
-noprocess, -nothread et -nodisk
pour désactiver les trois traces suivantes
: création et suppression de
processus, création et suppression de
thread et I/O disque. Le paramètre -b
définit 128 Ko comme taille du buffer
de trace et les paramètres -min et -max
indiquent le nombre minimum et
maximum de buffers à  allouer. Le paramètre
-f ordonne à  tracelog.exe d’envoyer
sa sortie binaire au fichier netfile.
etl dans le dossier perflogs. A noter
que la commande Tracelog -start a le
double effet de créer et de démarrer la
session de journalisation. Pour arrêter
la journalisation, tapez simplement la
commande

tracelog -stop

Dans Windows 2003, Microsoft
fournit un meilleur utilitaire ligne de
commande appelé logman.exe permettant
de gérer les sessions de trace.
Contrairement à  tracelog.exe, logman.
exe permet d’utiliser des providers
non-système. (Malheureusement,
logman.exe ne fonctionne pas sur une
machine Win2K.) Logman.exe a plusieurs
fonctions, dont la possibilité de
fournir la liste des providers actuellement
enregistrés sur une boîte. Pour
obtenir ce renseignement, tapez la
commande

logman query providers

L’information contenue dans la
liste résultante permet de valider un
provider pour une session de journalisation
particulière. Supposons que
vous vouliez utiliser logman.exe pour
valider le tracing AD sur une machine
Windows 2003. Après avoir, avec la
commande Logman query, obtenu le
nom du provider choisi (dans ce cas,
Active Directory : Core), vous devez
créer une session de journalisation.
Logman.exe offre un large choix de paramètres
de ligne de commande. Si
vous voulez que la commande reste
simple et accepter la paramétrage par
défaut, vous pouvez utiliser la commande
suivante pour créer une session
de trace AD :

logman create trace AD_trace
-o c:\perflogs
-p « Active Directory: Core »

Cette commande ordonne à  logman.
exe de créer une nouvelle session
de journalisation de trace appelée
AD_trace. Le mot-clé trace devant le
nom de la session est nécessaire parce
que vous pouvez aussi utiliser logman.
exe pour créer des sessions
Performance Monitor qui produisent
un genre de journal différent. Le paramètre
-o demande à  logman.exe de
placer le fichier de sortie binaire dans
le dossier perflogs. Le paramètre -p indique
le nom du provider à  utiliser.
Vous avez le choix entre le nom du
provider ou son GUID (globally unique
identifier).
Pour démarrer la session de journalisation,
tapez la commande

logman start AD_trace

Quand vous utilisez logman.exe
pour créer une session de journalisation
de trace, la session apparaît dans
l’UI du snap-in Performance Logs and
Alerts. Vous pouvez utiliser l’UI pour
modifier, démarrer ou arrêter la session.

Téléchargez cette ressource

Guide inmac wstore pour l’équipement IT de l’entreprise

Guide inmac wstore pour l’équipement IT de l’entreprise

Découvrez toutes nos actualités à travers des interviews, avis, conseils d'experts, témoignages clients, ainsi que les dernières tendances et solutions IT autour de nos 4 univers produits : Poste de travail, Affichage et Collaboration, Impression et Infrastructure.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
Découvrir tous les articles de la chaîne Tech

Les articles les plus consultés

A travers cette chaîne
A travers ITPro

Les plus consultés sur iTPro.fr

Sur le même sujet

Activer la mise en veille prolongée dans Windows 10

Activer la mise en veille prolongée dans Windows 10
Cybersécurité Active Directory et les attaques de nouvelle génération

Cybersécurité Active Directory et les attaques de nouvelle génération
Une baie de stockage c’est quoi ?

Une baie de stockage c’est quoi ?
Et si les clients n’avaient plus le choix ?

Et si les clients n’avaient plus le choix ?
Les 6 étapes vers un diagnostic réussi

Les 6 étapes vers un diagnostic réussi

A lire aussi sur le site

L’IA comme levier d’évangélisation du COMEX à la cybersécurité

Intelligence Artificielle & Comex, mais aussi responsabilité de l’IA, et sécurité des environnements OT … Des sujets au cœur des réflexions des équipes cybersécurité. Raphaël Marichez, CSO France et Europe du Sud chez Palo Alto Networks s’est prêté au jeu des Questions/Réponses.
Revue Smart DSI

La Revue du Décideur IT

KYOCERA Document Solutions France renouvelle son engagement auprès de France Judo

Partenariat renouvelé entre KYOCERA Document Solutions France et la Fédération Française de Judo, Jujitsu, Kendo et disciplines associées (France Judo).

A la Une des Ressources IT

Inscrivez-vous !
Guide de technologie 5G pour l’entreprise

Guide de technologie 5G pour l’...

Découvrir Guide inmac wstore pour l’équipement IT de l’entreprise

Guide inmac wstore pour l’équipement ...

Découvrir Guide de Sécurité IA et IoT

Guide de Sécurité IA et IoT

Découvrir Préparer l’entreprise aux technologies interconnectées

Préparer l’entreprise aux techn...

Découvrir Comment sécuriser une PME avec l’approche par les risques ?

Comment sécuriser une PME avec l’appr...

Découvrir