Dela via

Kom igång med installations- och starthändelsesamling

Overview

Installation och starthändelsesamling är en ny funktion i Windows Server 2016 som gör att du kan utse en insamlare som kan samla in en mängd viktiga händelser som inträffar på andra datorer när de startar eller går igenom installationsprocessen. Du kan sedan senare analysera de insamlade händelserna med Event Viewer, Message Analyzer, Wevtutil eller Windows PowerShell-cmdletar.

Tidigare har dessa händelser varit omöjliga att övervaka eftersom infrastrukturen som behövs för att samla in dem inte finns förrän en dator redan har konfigurerats. De typer av installations- och starthändelser som du kan övervaka är:

  • Inläsning av kernelmoduler och drivrutiner

  • Uppräkning av enheter och initiering av deras drivrutiner (inklusive enheter som CPU-typ)

  • Verifiering och montering av filsystem

  • Start av körbara filer

  • Start och slutförande av systemuppdateringar

  • De punkter då systemet blir tillgängligt för inloggning, upprättar anslutning med en domänkontrollant, tjänsternas start är klar och nätverksresursernas tillgänglighet

Insamlard dator måste köra Windows Server 2016 (den kan vara i antingen Server med skrivbordsmiljö eller Server Core-läge). Måldatorn måste köra antingen Windows 10 eller Windows Server 2016. Du kan också köra den här tjänsten på en virtuell dator som finns på en dator som inte kör Windows Server 2016. Följande kombinationer av virtualiserade insamlare och måldatorer är kända för att fungera:

Virtualiseringsvärd Virtuell dator för insamlare Virtuell målmaskin
Windows 8.1 yes yes
Windows 10 yes yes
Windows Server 2016 yes yes
Windows Server 2012 R2 yes no

Installera insamlingstjänsten

Från och med Windows Server 2016 är händelseinsamlaretjänsten tillgänglig som en valfri funktion. I den här versionen kan du installera den med hjälp av DISM.exe med det här kommandot i en upphöjd Windows PowerShell-prompt:

dism /online /enable-feature /featurename:SetupAndBootEventCollection

Det här kommandot skapar en tjänst med namnet BootEventCollector och startar den med en tom konfigurationsfil.

Bekräfta att installationen lyckas genom att kontrollera get-service -displayname *boot*. Starthändelseinsamlaren bör vara igång. Den körs under nätverkstjänstkontot och skapar en tom konfigurationsfil (Active.xml) i %SystemDrive%\ProgramData\Microsoft\BootEventCollector\Config.

Du kan också installera installations- och starttjänsten för händelseinsamling med guiden Lägg till roller och funktioner i Serverhanteraren.

Configuration

Du måste konfigurera två objekt för att samla in installations- och starthändelser.

  • Aktivera KDNET/EVENT-NET transport och aktivera vidarebefordran av händelser på de måldatorer som ska skicka händelserna (dvs. de datorer vars konfiguration och start du vill övervaka).

  • På insamlingsdatorn anger du vilka datorer som ska acceptera händelser från och var de ska sparas.

Note

Du kan inte konfigurera en dator för att skicka start- eller starthändelserna till sig själv. Men om du vill övervaka två datorer kan du konfigurera dem för att skicka händelserna till varandra.

Konfigurera måldator

På varje måldator aktiverar du först KDNET/EVENT-NET transport, aktiverar sedan sändning av ETW-händelser via transporten och startar sedan om måldatorn. EVENT-NET är ett transportprotokoll i kernel som liknar KDNET (kernel-felsökningsprotokollet). EVENT-NET överför bara händelser och tillåter inte felsökningsåtkomst. Dessa två protokoll är ömsesidigt uteslutande; du kan bara aktivera en av dem i taget.

Du kan fjärraktivera händelsetransport (med Windows PowerShell) eller lokalt.

Så här aktiverar du händelsetransport via fjärranslutning

  1. Om du redan har konfigurerat Windows PowerShell-fjärrkommunikation till måldatorn går du vidare till Steg 3. Annars öppnar du en kommandotolk på måldatorn och kör följande kommando:

    winrm quickconfig

  2. Svara på anvisningarna och starta sedan om måldatorn. Om måldatorerna inte finns i samma domän som insamlardatorn, då kan det hända att du behöver definiera dem som betrodda värdar. Så här gör du:

  3. Kör något av följande kommandon på insamlingsdatorn:

    • I en Windows PowerShell-prompt: Set-Item -Force WSMan:\localhost\Client\TrustedHosts <target1>,<target2>,..., följt av Set-Item -Force WSMan:\localhost\Client\AllowUnencrypted true där <target1> osv. är namn eller IP-adresser för måldatorerna.

    • Eller i en kommandotolk: winrm set winrm/config/client @{TrustedHosts=<target1>,<target2>,...;AllowUnencrypted=true}

      Important

      Detta konfigurerar okrypterad kommunikation, så gör inte detta utanför en labbmiljö.

  4. Testa fjärranslutningen genom att gå till insamlingsdatorn och köra något av följande Windows PowerShell-kommandon:

    Om måldatorn finns i samma domän som insamlingsdatorn kör du New-PSSession -Computer <target> | Remove-PSSession

    Om måldatorn inte finns i samma domän kör du New-PSSession -Computer <target> -Credential Administrator | Remove-PSSession, vilket uppmanar dig att ange autentiseringsuppgifter.

    Om kommandot inte returnerar något var fjärrkommunikationen lyckad.

  5. Öppna en upphöjd Windows PowerShell-prompt på måldatorn och kör det här kommandot:

    Enable-SbecBcd -ComputerName <target_name> -CollectorIP <ip> -CollectorPort <port> -Key <a.b.c.d>

    Här <target_name> är namnet på måldatorn, <ip> är IP-adressen till samlarens dator. <port> är portnumret där insamlaren ska köras. Key <a.b.c.d> är en nödvändig krypteringsnyckel för kommunikationen, som består av fyra alfanumeriska strängar avgränsade med punkter. Samma nyckel används på insamlingsdatorn. Om du inte anger en nyckel genererar systemet en slumpmässig nyckel. du behöver detta för insamlingsdatorn, så anteckna det.

  6. Om du redan har konfigurerat en insamlardator uppdaterar du konfigurationsfilen på insamlingsdatorn med informationen för den nya måldatorn. Mer information finns i avsnittet Konfigurera insamlarens dator.

Aktivera händelsetransport lokalt på måldatorn

  1. Starta en upphöjd kommandotolk och kör sedan följande kommandon:

    bcdedit /evenemang ja

    bcdedit / eventsettings net hostip: 1.2.3.4 port: 50000 nyckel: a.b.c.d

    Här är 1.2.3.4 ett exempel; ersätt detta med IP-adressen för insamlard dator. Ersätt också 50000 med portnumret där insamlaren ska köras och a.b.c.d med den krypteringsnyckel som krävs för kommunikationen. Samma nyckel används på insamlingsdatorn. Om du inte anger en nyckel genererar systemet en slumpmässig nyckel. du behöver detta för insamlingsdatorn, så anteckna det.

  2. Om du redan har konfigurerat en insamlardator uppdaterar du konfigurationsfilen på insamlingsdatorn med informationen för den nya måldatorn. Mer information finns i avsnittet Konfigurera insamlarens dator.

Nu när själva händelsetransporten är aktiverad måste du göra det möjligt för systemet att faktiskt skicka ETW-händelser via den transporten.

Så här aktiverar du fjärrsändning av ETW-händelser via transporten

  1. Öppna en upphöjd Windows PowerShell-prompt på insamlarens dator.

  2. Kör Enable-SbecAutologger -ComputerName <target_name>, där <target_name> är namnet på måldatorn.

Om du inte kan konfigurera Windows PowerShell-fjärrkommunikation kan du alltid aktivera sändning av händelser direkt på måldatorn.

Så här aktiverar du sändning av ETW-händelser via transporten lokalt

  1. På måldatorn startar du Regedit.exe och hittar den här registernyckeln:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\AutoLogger. Olika loggsessioner visas som undernycklar under den här nyckeln. Setup Platform, NT Kernel Logger och Microsoft-Windows-Setup är möjliga alternativ för användning med installation och starthändelsesamling, men det rekommenderade alternativet är EventLog-System. Dessa nycklar beskrivs i Konfigurera och starta en AutoLogger-session.

  2. I nyckeln EventLog-System ändrar du värdet för LogFileMode från 0x10000180 till 0x10080180. Mer information om de här inställningarna finns i Konstanter i loggningsläge.

  3. Du kan också aktivera vidarebefordran av felkontrolldata till insamlingsdatorn. Det gör du genom att hitta registernyckeln HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager och skapa nyckeln Felsöka utskriftsfilter med värdet 0x1.

  4. Starta om måldatorn.

Välja nätverkskort

Om måldatorn har fler än ett nätverkskort väljer KDNET-drivrutinen den första som stöds i listan. Du kan ange ett visst nätverkskort som ska användas för vidarebefordran av installationshändelser med följande steg:

Så här specificerar du ett nätverkskort

  1. På måldatorn öppnar du Enhetshanteraren, expanderar Nätverkskort, letar upp det nätverkskort som du vill använda och högerklickar på det.

  2. I menyn som öppnas klickar du på Egenskaper och sedan på fliken Information . Expandera menyn i fältet Egenskap , bläddra för att hitta platsinformation (listan är förmodligen inte i alfabetisk ordning) och klicka sedan på den. Värdet är en sträng i formatet PCI bus X, enhet Y, funktion Z. Anteckna X.Y.Z; det här är de bussparametrar som du behöver för följande kommando.

  3. Kör något av följande kommandon:

    Från en upphöjd Windows PowerShell-prompt: Enable-SbecBcd -ComputerName <target_name> -CollectorIP <ip> -CollectorPort <port> -Key <a.b.c.d> -BusParams <X.Y.Z>

    Från en upphöjd kommandotolk: bcdedit /eventsettings net hostip:aaa port:50000 key:bbb busparams:X.Y.Z

Verifiera konfiguration av måldatorn

Om du vill kontrollera inställningarna på måldatorn öppnar du en upphöjd kommandotolk och kör bcdedit /enum. När detta är klart kör du bcdedit /eventsettings. Du kan dubbelkolla följande värden:

  • Key

  • Felsökningstyp = NET

  • Hostip = <IP-adress för insamlaren>

  • Port = <portnummer som du angav för insamlaren att använda>

  • DHCP = ja

Kontrollera också att du har aktiverat bcdedit /event, eftersom /debug och /event är ömsesidigt uteslutande. Du kan bara köra det ena eller det andra. På samma sätt kan du inte blanda /eventsettings med /debug eller /dbgsettings med /event.

Observera också att händelsesamlingen inte fungerar om du ställer in den på en seriell port.

Konfigurera insamlard dator

Insamlingstjänsten tar emot händelserna och sparar dem i ETL-filer. Dessa ETL-filer kan sedan läsas av andra verktyg, till exempel Händelsevisaren, Meddelandeanalysator, Wevtutil och Windows PowerShell-cmdletar.

Eftersom ETW-formatet inte tillåter att du anger måldatorns namn måste händelserna för varje måldator sparas i en separat fil. Visningsverktygen kan visa ett datornamn, men det är namnet på den dator där verktyget körs.

Mer exakt tilldelas varje måldator en ring med ETL-filer. Varje filnamn innehåller ett index från 000 till ett maximalt värde som du konfigurerar (upp till 999). När filen når den maximala konfigurerade storleken växlar den skrivhändelser till nästa fil. Efter den högsta möjliga filen växlar den tillbaka till filindex 000. På så sätt återanvänds filerna automatiskt, vilket begränsar användningen av diskutrymme. Du kan också ange ytterligare externa kvarhållningsprinciper för att ytterligare begränsa diskanvändningen. Du kan till exempel ta bort filer som är äldre än ett visst antal dagar.

Insamlade ETL-filer lagras vanligtvis i katalogen c:\ProgramData\Microsoft\BootEventCollector\Etl (som kan ha ytterligare underkataloger). Du hittar den senaste loggfilen genom att sortera dem efter den senaste ändringstiden. Det finns också en statuslogg (vanligtvis i c:\ProgramData\Microsoft\BootEventCollector\Logs), som registrerar när insamlaren växlar skrivning till en ny fil.

Det finns också en insamlingslogg som registrerar information om själva insamlaren. Du kan behålla den här loggen i ETW-format (där händelser rapporteras till Windows-loggtjänsten, detta är standard) eller i en fil (normalt i c:\ProgramData\Microsoft\BootEventCollector\Logs). Det kan vara användbart att använda en fil om du vill aktivera utförliga lägen som producerar mycket data. Du kan också ange att loggen ska skriva till ett standardutdata genom att köra insamlaren från kommandoraden.

Skapa insamlarens konfigurationsfil

När du aktiverar tjänsten skapas och lagras tre XML-konfigurationsfiler i c:\ProgramData\Microsoft\BootEventCollector\Config:

  • Active.xml Den här filen innehåller den aktuella aktiva konfigurationen av insamlingstjänsten. Direkt efter installationen har den här filen samma innehåll som Empty.xml. När du ställer in en ny insamlarkonfiguration sparar du den i den här filen.

  • Empty.xml Den här filen innehåller de minsta konfigurationselement som krävs med deras standardvärden inställda. Den aktiverar inte någon samling. Den tillåter endast insamlartjänsten att starta i inaktivt läge.

  • Example.xml Den här filen innehåller exempel och förklaringar av möjliga konfigurationselement.

Välja en filstorleksgräns

Ett av de beslut du måste fatta är att ange en filstorleksgräns. Den bästa filstorleksgränsen beror på den förväntade volymen händelser och tillgängligt diskutrymme. Mindre filer är mer praktiska när du rensar gamla data. Varje fil medför dock kostnaden för en 64 KB-rubrik och att läsa många filer för att få den kombinerade historiken kan vara obekvämt. Den absoluta minsta filstorleksgränsen är 256 KB. En rimlig praktisk filstorleksgräns bör vara över 1 MB och 10 MB är förmodligen ett bra typiskt värde. En högre gräns kan vara rimlig om du förväntar dig många händelser.

Det finns flera detaljer att tänka på när det gäller konfigurationsfilen:

  • Måldatorns adress. Du kan använda dess IPv4-adress, en MAC-adress eller ett SMBIOS GUID. Tänk på följande när du väljer den adress som ska användas:

    • IPv4-adressen fungerar bäst med statisk tilldelning av IP-adresserna. Men även statiska IP-adresser måste vara tillgängliga via DHCP.

    • En MAC-adress eller SMBIOS GUID är praktiskt när de är kända i förväg, men IP-adresserna tilldelas dynamiskt.

    • IPv6-adresser stöds inte av EVENT-NET-protokollet.

    • Det går att ange flera sätt att identifiera datorn. Om den fysiska maskinvaran till exempel är på väg att ersättas kan du ange både de gamla och de nya MAC-adresserna, och båda kommer att accepteras.

  • Krypteringsnyckeln som används för kommunikationen med insamlingsdatorn

  • Namnet på måldatorn. Du kan använda IP-adressen, värdnamnet eller något annat namn som datornamn.

  • Namnet på den ETL-fil som ska användas och ringstorlekskonfigurationen för den

Skapa konfigurationsfilen

  1. Öppna en upphöjd Windows PowerShell-prompt och ändra kataloger till %SystemDrive%\ProgramData\Microsoft\BootEventCollector\Config.

  2. Skriv notepad .\newconfig.xml och tryck på RETUR.

  3. Kopiera den här exempelkonfigurationen till fönstret Anteckningar:

    <collector configVersionMajor=1 statuslog=c:\ProgramData\Microsoft\BootEventCollector\Logs\statuslog.xml>
  <common>
    <collectorport value=50000/>
    <forwarder type=etl>
      <set name=file value=c:\ProgramData\Microsoft\BootEventCollector\Etl\{computer}\{computer}_{#3}.etl/>
      <set name=size value=10mb/>
      <set name=nfiles value=10/>
      <set name=toxml value=none/>
    </forwarder>
    <target>
      <ipv4 value=192.168.1.1/>
      <key value=a.b.c.d/>
      <computer value=computer1/>
    </target>
    <target>
      <ipv4 value=192.168.1.2/>
      <key value=d1.e2.f3.g4/>
      <computer value=computer2/>
    </target>
  </common>
</collector>

    Note

    Rotnoden är <insamlare>. Dess attribut anger versionen av konfigurationsfilsyntaxen och namnet på statusloggfilen.

    Det <gemensamma> elementet grupperar flera mål som anger de vanliga konfigurationselementen för dem, ungefär som en användargrupp kan användas för att ange de gemensamma behörigheterna för flera användare.

    Elementet <collectorport> definierar UDP-portnumret där insamlaren lyssnar efter inkommande data. Det här är samma port som angavs i målkonfigurationssteget för Bcdedit. Insamlaren stöder endast en port och alla mål måste ansluta till samma port.

    Vidarebefordrarelementet <> anger hur ETW-händelser som tas emot från måldatorerna vidarebefordras. Det finns bara en typ av vidarebefordrare som skriver dem till ETL-filerna. Parametrarna anger filnamnsmönstret, storleksgränsen för varje fil i ringen och storleken på ringen för varje dator. Inställningen toxml anger att ETW-händelserna skrivs i binärt format när de togs emot, utan konvertering till XML. I avsnittet OM XML-händelsekonvertering finns information om hur du bestämmer om händelserna ska tilldelas till XML eller inte. Filnamnsmönstret innehåller dessa ersättningar: {computer} för datornamnet och {#3} för filindexet i ringen.

    I den här exempelfilen definieras två måldatorer med <målelementet> . Varje definition anger IP-adressen med <ipv4>, men du kan också använda MAC-adressen (till exempel <mac value=11:22:33:44:55:66/> eller <mac value=11-22-33-44-55-66/>) eller SMBIOS GUID (till exempel <guid value={269076F9-4B77-46E1-B03B-CA5003775B88}/>) för att identifiera måldatorn. Observera även krypteringsnyckeln (samma som angavs eller genererades med Bcdedit på måldatorn) och datornamnet.

  4. Ange information för varje måldator som ett separat <målelement> i konfigurationsfilen och spara sedan Newconfig.xml och stäng Anteckningar.

  5. Använd den nya konfigurationen med $result = (Get-Content .\newconfig.xml | Set-SbecActiveConfig); $result. Utdata ska returneras med fältet Lyckades sant. Om du får ett annat resultat kan du läsa avsnittet Felsökning i det här avsnittet.

Du kan alltid kontrollera den aktuella aktiva konfigurationen med (Get-SbecActiveConfig).text.

Du kan utföra en giltighetskontroll på konfigurationsfilen med $result = (Get-Content .\newconfig.xml | Check-SbecConfig); $result.

Även om Windows PowerShell-kommandot för att tillämpa en ny konfiguration automatiskt uppdaterar tjänsten utan att du behöver starta om den, kan du alltid starta om tjänsten själv med något av följande kommandon:

  • Med Windows PowerShell: Restart-Service BootEventCollector

  • I en vanlig kommandotolk: sc stop BootEventCollector; sc start BootEventCollector

Konfigurera Nano Server som måldator

Det minimala gränssnittet som Erbjuds av Nano Server kan ibland göra det svårt att diagnostisera problem med det. Du kan konfigurera Nano Server-avbildningen så att den deltar i installation och starthändelseinsamling automatiskt och skickar diagnostikdata till en insamlardator utan ytterligare åtgärder från dig. Gör detta genom att följa dessa steg:

Så här konfigurerar du Nano Server som måldator

  1. Skapa din grundläggande Nano Server-avbildning. Mer information finns i Komma igång med Nano Server .

  2. Konfigurera en insamlardator som i avsnittet Konfigurera insamlingsdatorn i det här avsnittet.

  3. Lägg till AutoLogger-registernycklar för att aktivera sändning av diagnostikmeddelanden. För att göra detta monterar du den virtuella Nano Server-hårddisk som skapades i steg 1, läser in registreringsdatafilen och lägger sedan till vissa registernycklar. I det här exemplet finns Nano Server-avbildningen i C:\NanoServer; din sökväg kan vara annorlunda, så justera stegen i enlighet med detta.

    1. På insamlingsdatorn kopierar du .. \Windows\System32\WindowsPowerShell\v1.0\Modules\BootEventCollector-mappen och klistra in den i .. Katalogen \Windows\System32\WindowsPowerShell\v1.0\Modules på den dator som du använder för att ändra den virtuella hårddisken för Nano Server.

    2. Starta en Windows PowerShell-konsol med utökade behörigheter och kör Import-Module BootEventCollector.

    3. Uppdatera Nano Server VHD-registret för att aktivera AutoLoggers. Gör detta genom att köra Enable-SbecAutoLogger -Path C:\NanoServer\Workloads\IncludingWorkloads.vhd. Detta lägger till en grundläggande lista över de vanligaste installations- och starthändelserna. du kan undersöka andra på Controlling Event Tracing Sessions (Kontrollera händelsespårningssessioner).

  4. Uppdatera BCD-inställningarna i Nano Server-avbildningen för att aktivera flaggan Händelser och ange insamlingsdatorn för att säkerställa att diagnostikhändelser skickas till rätt server. Observera insamlingsdatorns IPv4-adress, TCP-port och krypteringsnyckel som du konfigurerade i insamlarens Active.XML -fil (beskrivs någon annanstans i det här avsnittet). Använd det här kommandot i en Windows PowerShell-konsol med utökade behörigheter: Enable-SbecBcd -Path C:\NanoServer\Workloads\IncludingWorkloads.vhd -CollectorIp 192.168.100.1 -CollectorPort 50000 -Key a.b.c.d

  5. Uppdatera insamlard dator för att ta emot händelsen som skickas av Nano Server-datorn genom att lägga till antingen IPv4-adressintervallet, den specifika IPv4-adressen eller MAC-adressen för Nano Server till den Active.XML filen på insamlingsdatorn (se avsnittet Konfigurera insamlarens dator i det här avsnittet).

Starta händelseinsamlaretjänsten

När en giltig konfigurationsfil har sparats på insamlard dator och en måldator har konfigurerats, så snart måldatorn startas om, görs anslutningen till insamlaren och händelser samlas in.

Loggen för själva insamlingstjänsten (som skiljer sig från de installations- och startdata som samlas in av tjänsten) finns under Microsoft-Windows-BootEvent-Collector/Admin . Om du vill ha ett grafiskt gränssnitt för händelserna använder du Händelsevisaren. Skapa en ny vy. expandera Program- och tjänstloggar och expandera sedan Microsoft och sedan Windows. Leta upp BootEvent-Collector, expandera den och leta reda på Administratör.

  • Med Windows PowerShell: Get-WinEvent -LogName Microsoft-Windows-BootEvent-Collector/Admin

  • I en vanlig kommandotolk: wevtutil qe Microsoft-Windows-BootEvent-Collector/Admin

Troubleshooting

Felsöka installationen av funktionen

Error Felbeskrivning Symptom Potentiellt problem
Dism.exe 87 Alternativet feature-name känns inte igen i här kontexten Detta kan inträffa om du felstavar funktionsnamnet. Kontrollera att du har rätt stavning och försök igen. Bekräfta att den här funktionen är tillgänglig på den operativsystemversion som du använder. I Windows PowerShell kör du dism /online /get-features &#124; ?{$_ -match boot}. Om ingen matchning returneras kör du förmodligen en version som inte stöder den här funktionen.
Dism.exe 0x800f080c Funktionen <name> är okänd. Samma som ovan

Felsöka samlaren

Skogsavverkning: Insamlaren loggar sina egna händelser som ETW-providern Microsoft-Windows-BootEvent-Collector. Det är det första stället du bör leta efter felsökningsproblem med insamlaren. Du hittar dem i Loggboken under Program- och tjänstloggar > Microsoft > Windows > BootEvent-Collector > Admin, eller så kan du läsa dem i ett kommandofönster med något av följande kommandon:

I en vanlig kommandotolk: wevtutil qe Microsoft-Windows-BootEvent-Collector/Admin

I en Windows PowerShell-fråga: Get-WinEvent -LogName Microsoft-Windows-BootEvent-Collector/Admin (du kan lägga -Oldest till för att returnera listan i kronologisk ordning med de äldsta händelserna först)

Du kan justera detaljnivån i loggarna från "fel" till "varning," "information" (standard), "utförlig" och "debuggning." Mer detaljerade nivåer än information är användbara för att diagnostisera problem med måldatorer som inte ansluter, men de kan generera en stor mängd data, så använd dem med försiktighet.

Du anger den lägsta loggnivån i insamlarelementet< i >konfigurationsfilen. Till exempel: <collector configVersionMajor=1 minlog=verbose>.

Den utförliga nivån loggar en post för varje paket som tas emot när det bearbetas. Felsökningsnivån lägger till mer bearbetningsinformation och dumpar även innehållet i alla mottagna ETW-paket.

På felsökningsnivå kan det vara bra att skriva loggen till en fil i stället för att försöka visa den i det vanliga loggningssystemet. Det gör du genom att lägga till ytterligare ett element i insamlarelementet< i >konfigurationsfilen:

<collector configVersionMajor=1 minlog=debug log=c:\ProgramData\Microsoft\BootEventCollector\Logs\log.txt>

En föreslagen metod för att felsöka samlaren:

  1. Kontrollera först att insamlaren har tagit emot anslutningen från destinationen (den skapar endast filen när destinationen börjar skicka meddelandena) med

    Get-SbecForwarding

    Om den returnerar att det finns en anslutning från det här målet kan problemet finnas i inställningarna för autologgning. Om den inte returnerar något är problemet redan från början med KDNET-anslutningen. Om du vill diagnostisera KDNET-anslutningsproblem kan du prova att kontrollera anslutningen från båda ändar (dvs. från insamlaren och från målet).

  2. Om du vill se utökad diagnostik från insamlaren lägger du till detta i <insamlarelementet> i konfigurationsfilen: <insamlaren ... minlog=verbose> Detta aktiverar meddelanden om varje mottaget paket.

  3. Kontrollera om några paket tas emot alls. Du kan också skriva loggen i utförligt läge direkt till en fil i stället för via ETW. Det gör du genom att lägga till detta i <insamlarelementet> i konfigurationsfilen: <insamlare ... minlog=verbose log=c:\ProgramData\Microsoft\BootEventCollector\Logs\log.txt>

  4. Kontrollera händelseloggarna efter meddelanden om de mottagna paketen. Kontrollera om några paket tas emot alls. Om paketen tas emot men är felaktiga kontrollerar du händelsemeddelanden för mer information.

  5. Från målsidan skriver KDNET viss diagnostikinformation till registret. Leta efter meddelanden i HKLM\SYSTEM\CurrentControlSet\Services\kdnet . KdInitStatus (DWORD) = 0 vid lyckat resultat och visar en felkod på felet KdInitErrorString = förklaring av felet (innehåller även informationsmeddelanden om inget fel)

  6. Kör Ipconfig.exe på målet och sök efter det enhetsnamn som det rapporterar. Om KDNET lästes in korrekt bör enhetsnamnet vara ungefär som kdnic i stället för den ursprungliga leverantörens kortnamn.

  7. Kontrollera om DHCP har konfigurerats för målet. KDNET kräver absolut DHCP.

  8. Bekräfta att insamlaren finns i samma nätverk som målet. Om inte kontrollerar du om routningen är korrekt konfigurerad, särskilt standardgatewayinställningen för DHCP.

Anslutningsstatus

Du kan kontrollera den aktuella listan över etablerade anslutningar och information om var data vidarebefordras med Get-SbecForwarding.

Du kan också hämta den senaste historiken för statusändringar i anslutningar med Get-SbecHistory.

Felsöka inställning av en ny konfiguration

Om du använde konfigurationen med Windows PowerShell-kommandot $result = (Get-Content .\newconfig.xml | Set-SbecActiveConfig); $resultinnehåller variabeln $result information om distributionen. Du kan köra frågor mot den här variabeln för att få ut olika uppgifter:

Hämta information om fel med $result.ErrorString. Om några fel rapporteras här har den nya konfigurationen inte tillämpats och den gamla konfigurationen ändras inte.

Hämta varningar med $result.WarningString.

Hämta information om konfigurationen med $result.InfoString.

Du kan få det fullständiga resultatet med $result | fl *. Om du inte vill spara resultatet i en variabel kan du också använda Get-Content .\newconfig.xml | Set-SbecActiveConfig | fl *.

Felsöka måldatorer

Error Felbeskrivning Potentiellt problem
Måldator Målet ansluter inte till insamlaren Måldatorn startades inte om när den konfigurerades. Starta om måldatorn. Måldatorn har felaktiga BCD-inställningar. Kontrollera inställningarna i avsnittet Verifiera måldatorinställningar. Korrigera efter behov och starta sedan om måldatorn.

KDNET/EVENT-NET-drivrutinen kunde inte ansluta till ett nätverkskort eller ansluta till fel nätverkskort. I Windows PowerShell kör gwmi Win32_NetworkAdapter och kontrollerar du utdata för en med ServiceName kdnic. Om fel nätverkskort har valts re-do stegen i Ange ett nätverkskort. Om nätverkskortet inte visas alls kan det bero på att drivrutinen inte stöder något av dina nätverkskort.

Se även: En föreslagen metod för att felsöka insamlaren ovan, särskilt steg 5 till och med 8.
Collector Jag ser inte längre händelser när jag har migrerat den virtuella datorn som min insamlare finns på. Kontrollera att IP-adressen för insamlard dator inte har ändrats. Om så är fallet läser du Om du vill aktivera sändning av ETW-händelser via transporten via fjärranslutning.
Collector ETL-filerna skapas inte. Get-SbecForwarding visar att målet har anslutit, utan fel, men att ETL-filerna inte skapas.

Måldatorn har förmodligen inte skickat några data ännu. ETL-filer skapas endast när data tas emot.
Collector En händelse visas inte i ETL-filen. Måldatorn har skickat en händelse, men när ETL-filen läss med Loggboken för Meddelandeanalys finns inte händelsen. Händelsen kan fortfarande finnas i bufferten. Händelser skrivs inte till ETL-filen förrän en fullständig buffert på 64 KB samlas in eller en tidsgräns på cirka 10–15 sekunder utan att några nya händelser har inträffat. Vänta antingen tills tidsgränsen upphör att gälla eller töm buffertarna med Save-SbecInstance.

Händelsemanifestet är inte tillgängligt på insamlingsdatorn eller datorn där Händelsevisaren eller Message Analyzer körs. I det här fallet kanske insamlaren inte kan bearbeta händelsen (kontrollera insamlingsloggen) eller så kanske visningsprogrammet inte kan visa den. Det är en god praxis att ha alla manifest installerade på insamlingsdatorn och installera uppdateringar på insamlingsdatorn innan du installerar dem på måldatorerna.