DTrace on dünaamiline jälgimisraamistik, mis võimaldab administraatoril või arendajal vaadata süsteemi reaalajas kas kasutaja või kerneli režiimis. DTrace'il on C-stiilis kõrgetasemeline ja võimas programmeerimiskeel, mis võimaldab jälituspunkte dünaamiliselt sisestada. Neid dünaamiliselt sisestatud jälgimispunkte kasutades saate filtreerida tingimusi või vigu, kirjutada koodi lukumustrite analüüsimiseks, tuvastada ummikuid jne.
Windowsis laiendab DTrace Windowsi sündmuste jälgimist (ETW), mis on staatiline ja ei võimalda käivitamise ajal jälituspunkte programmiliselt sisestada.
Kõik dtrace.sys kasutatavad API-d ja funktsioonid on dokumenteeritud kõned.
Microsoft on juurutanud Windows 10 jaoks spetsiaalse draiveri, mis võimaldab täita mitmeid süsteemi jälgimise rolle. Draiver on kaasas Windows 10 versiooniga 1903. Lisaks nõuab DTrace praegu Windowsi käivitamist, kus tuumasiluja on lubatud.
Porteeritud DTrace'i tööriista lähtekood on saadaval GitHubis. Külastage lehte DTrace Windowsisselle nägemiseks GitHubi projekti OpenDTrace all.
Sisu peita Seadistage DTrace operatsioonisüsteemis Windows 10 DTrace'i kasutamineSeadistage DTrace operatsioonisüsteemis Windows 10
Funktsiooni kasutamise eeldused
- Windows 10 siseringehitada 18342või kõrgem
- Saadaval ainultx64Windows ja salvestab jälgimisteabe ainult 64-bitiste protsesside jaoks Windows Insider programm onlubatudjakonfigureeritudkehtiva Windows Insideri kontoga
- Lisateabe saamiseks külastage jaotist Seaded-> Värskendus ja turvalisus-> Windows Insider
Juhised:
- BCD konfiguratsioonikomplekt:
- bcdedit /set dtrace on
- Pange tähele, et kui lähete üle uuele Insideri järgule, peate uuesti määrama suvandi bcdedit
- See installib kasutajarežiimi komponendid, draiverid ja lisafunktsioonide paketid, mis on vajalikud DTrace'i toimimiseks.
- Valikuline: värskendagePATH keskkonnamuutujalisadaC:Program FilesDTrace
- määra PATH=%PATH%;'C:Program FilesDTrace'
- Seadistaminesümboli tee
- Looge sümbolite kohalikuks vahemällu salvestamiseks uus kataloog. Näide: mkdir c:symbols
- Määra_NT_SYMBOL_PATH=srv*C:symbols* http://msdl.microsoft.com/download/symbols
- DTrace laadib vajalikud sümbolid automaatselt alla sümboliserverist ja salvestab vahemällu kohalikule teele.
Valikuline:Kerneli siluri seadistamineühendus sihtmasinaga ( MSDN link). See onainultnõutav, kui soovite jälgida kerneli sündmusi FBT või muude pakkujate abil. - Pange tähele, et kui soovite seadistada kerneli siluri, peate arvutis C: keelama Secureboot ja Bitlocker (kui see on lubatud).
DTrace'i kasutamine
- Avage kõrgendatud käsuviip.
- Käivitage üks järgmistest käskudest:|_+_|
Käskdtrace -lvn syscall:::loetleb kõik sondid ja nende parameetrid, mis on saadaval syscalli pakkujalt.
Järgmised on mõned Windowsis saadaolevad pakkujad ja nende vahendid.
- syscall – NTOS-süsteemi callsfbt (Funktsioonipiiride jälgimine) – Kerneli funktsiooni sisestus ja returnspid – kasutajarežiimi protsesside jälgimine. Sarnaselt kerneli režiimiga FBT, kuid võimaldab ka suvaliste funktsioonide offsets.etw (sündmuste jälgimine Windowsi jaoks) instrumenteerimist – võimaldab määrata ETW jaoks sonde. See pakkuja aitab DTrace'is olemasolevat operatsioonisüsteemi instrumentatsiooni võimendada.
- See on üks täiendus, mille oleme DTrace'ile teinud, et see saaks paljastada ja hankida kogu teavet, mida Windows juba pakub S.T.W.
Siit leiate rohkem Windowsi stsenaariumide jaoks kasutatavaid näidisskripte näidiste kataloog.
Allikas: Microsoft