A DTrace már elérhető Windows rendszeren

A DTrace egy dinamikus nyomkövetési keretrendszer, amely lehetővé teszi az adminisztrátorok vagy fejlesztők számára, hogy valós idejű betekintést kapjanak a rendszerbe akár felhasználói, akár kernel módban. A DTrace C-stílusú, magas szintű és hatékony programozási nyelvvel rendelkezik, amely lehetővé teszi nyomkövetési pontok dinamikus beszúrását. Ezekkel a dinamikusan beillesztett nyomkövetési pontokkal szűrhet feltételekre vagy hibákra, kódot írhat a zárolási minták elemzéséhez, holtpontok észleléséhez stb.

Windows rendszeren a DTrace kiterjeszti az Event Tracing for Windows (ETW) funkciót, amely statikus, és nem teszi lehetővé a nyomkövetési pontok programozott beszúrását futás közben.

A dtrace.sys által használt összes API és funkció dokumentált hívás.

A Microsoft speciális illesztőprogramot vezetett be a Windows 10 rendszerhez, amely lehetővé teszi számos rendszerfigyelő szerepkör betöltését. Az illesztőprogramot a Windows 10 1903-as verziója tartalmazza. Ezenkívül a DTrace jelenleg megköveteli, hogy a Windows rendszermag-hibakeresővel legyen elindítva.

A portolt DTrace eszköz forráskódja elérhető a GitHubon. Látogassa meg az oldalt DTrace a Windows rendszerenaz OpenDTrace projekt alatt a GitHubon, hogy megtekinthesse.

A DTrace beállítása a Windows 10 rendszerben

A funkció használatának előfeltételei

• Windows 10 bennfentesépítése 18342vagy magasabb
• Csak a következőn érhető elx64Windows és csak a 64 bites folyamatokhoz rögzíti a nyomkövetési információkat
A Windows Insider program azengedélyezve vanéskonfigurálvaérvényes Windows Insider fiókkal
• A részletekért látogasson el a Beállítások->Frissítés és biztonság->Windows Insider programba

Utasítás:

BCD konfigurációs készlet:
1. bcdedit /set dtrace on
2. Megjegyzés: ha új Insider buildre frissít, újra be kell állítania a bcdedit beállítást
Töltse le és telepítse a DTrace csomagot innen letöltési központ.
1. Ez telepíti a DTrace működéséhez szükséges felhasználói módú összetevőket, illesztőprogramokat és további igény szerinti szolgáltatáscsomagokat.
1. Opcionális: Frissítse aPATH környezeti változóhogy tartalmazzaC:Program FilesDTrace
   1. set PATH=%PATH%;'C:Program FilesDTrace'
2. Beállítszimbólum útja
   1. Hozzon létre egy új könyvtárat a szimbólumok helyi gyorsítótárazásához. Példa: mkdir c:symbols
   2. Készlet_NT_SYMBOL_PATH=srv*C:symbols* http://msdl.microsoft.com/download/symbols
   3. A DTrace automatikusan letölti a szükséges szimbólumokat a szimbólumkiszolgálóról, és gyorsítótárat tárol a helyi elérési útra.
Választható:Kernel hibakereső beállításacsatlakozás a célgéphez ( MSDN link). Ezcsakszükséges, ha FBT vagy más szolgáltatók használatával szeretné nyomon követni a kernel eseményeit.
1. Vegye figyelembe, hogy le kell tiltania a Securebootot és a Bitlockert a C:-en (ha engedélyezve van), ha kernel hibakeresőt szeretne beállítani.
Indítsa újra a célgépet

A DTrace használata

1. Nyisson meg egy emelt szintű parancssort.
2. Hajtsa végre a következő parancsok egyikét:|_+_|

A parancsdtrace -lvn syscall:::listázza a syscall szolgáltatótól elérhető összes vizsgálót és paramétereiket.

Az alábbiakban felsorolunk néhány, a Windows rendszeren elérhető szolgáltatót és az általuk használt eszközöket.

syscall – NTOS rendszerhívások fbt (Funkcióhatár nyomkövetés) – Kernelfüggvény bevitele és returnspid – Felhasználói módú folyamatkövetés. Mint a kernel módú FBT, de lehetővé teszi az offsets.etw tetszőleges függvények műszerezését (Event Tracing for Windows) – Lehetővé teszi szondák meghatározását az ETW számára Ez a szolgáltató segít a meglévő operációs rendszer műszereinek kihasználásában a DTrace-ben.
• Ez egy olyan kiegészítés, amelyet a DTrace-hez tettünk annak érdekében, hogy felfedje és megszerezze a Windows által a S.T.W.

További Windows-forgatókönyvekhez használható minta szkriptek találhatók ebben minták könyvtár.

Forrás: Microsoft