Controllo della traccia Winsock

  • Articolo

La traccia Winsock può essere controllata usando uno dei metodi seguenti:

  • Strumenti da riga di comando

    Due strumenti da riga di comando sono inclusi in Windows Vista e Windows Server 2008 usati per controllare la traccia e convertire il file di log di traccia binario in testo leggibile.

    Lo strumento logman.exe viene usato per avviare o arrestare la traccia Winsock.

    Lo strumento tracerpt.exe viene usato per convertire il file di log di traccia binaria in un file di testo leggibile.

  • Visualizzatore eventi

    La Visualizzatore eventi in Windows Vista e versioni successive può essere usata anche per abilitare la traccia Winsock. Il Visualizzatore eventi è accessibile nel menu Strumenti di amministrazione.

Uso di logman e tracert

La traccia eventi di rete Winsock è disabilitata per impostazione predefinita in Windows Vista e versioni successive.

Il comando seguente avvia la traccia eventi di rete Winsock in un computer, imposta il nome della sessione di traccia eventi su mywinsocksession e invia l'output a un file di log binario denominato winsocklogfile.etl:

logman start -ets mywinsocksession -o winsocklogfile.etl -p Microsoft-Windows-Winsock-AFD

I file di log vengono creati nella directory corrente con nomi file del modulo winsocklogfile_000001.etl

Il comando seguente arresta la traccia Winsock precedente in un computer per la sessione denominata mywinsocksession:

logman stop -ets mywinsocksession

Un file di log binario verrà scritto nel percorso specificato dal parametro –o. Per tradurre il file binario in un file di testo leggibile, viene usatotracerpt.exe :

<tracerpt.exe nome del file> con estensione etl –o winsocktracelog.txt

Se si preferisce un file di output contenente xml anziché testo normale, viene usato il comando seguente:

<tracerpt.exe nome del file> con estensione etl –o winsocktracelog.xml -of xml

La traccia delle modifiche del catalogo Winsock è abilitata per impostazione predefinita in Windows Vista e versioni successive.

Nota

I provider di servizi su più livelli sono deprecati. A partire da Windows 8 e Windows Server 2012, usare Windows Filtering Platform.

 

Il comando seguente avvia la traccia delle modifiche del catalogo Winsock per i provider di servizi a più livelli (LSP) in un computer, imposta il nome della sessione di traccia eventi su mywinsockcatalogsession e invia l'output a un file di log binario denominato winsockcatalogloglogfile.etl:

logman start -ets mywinsockcatalogsession -o winsockcataloglogfile.etl -p Microsoft-Windows-Winsock-WS2HELP

I file di log vengono creati nella directory corrente con nomi di file del modulo winsockcataloglogfile_000001.etl

Il comando seguente arresta la traccia Winsock precedente in un computer per la sessione denominata mysession:

logman stop -ets mywinsockcatalogsession

Un file di log binario verrà scritto nel percorso specificato dal parametro –o. Per tradurre il file binario in un file di testo leggibile, viene usatotracerpt.exe :

<tracerpt.exe nome del file> con estensione etl –o winsockcatalogtracelog.txt

Se si preferisce un file di output contenente xml anziché testo normale, viene usato il comando seguente:

<tracerpt.exe nome del file> con estensione etl –o winsockcatalogtracelog.xml -of xml

Uso di Visualizzatore eventi per avviare Winsock Network Event Tracing

Quando si apre Visualizzatore eventi, il riquadro sinistro contiene l'elenco di eventi. Aprire Registri applicazioni e servizi e passare a Microsoft\Windows\Winsock Network Event (Evento di rete Microsoft\Windows\Winsock) come origine e selezionare Operational (Operativo).

Nel riquadro Azione selezionare Proprietà log e selezionare la casella di controllo Abilita registrazione . Dopo aver abilitato la registrazione, è anche possibile modificare le dimensioni del file di log, se necessario.

La traccia degli eventi di rete Winsock è ora abilitata e basta premere l'azione Aggiorna per aggiornare l'elenco di eventi registrati. Per interrompere la registrazione, deselezionare semplicemente lo stesso pulsante di opzione.

Potrebbe essere necessario aumentare le dimensioni del log a seconda del numero di eventi che si desidera visualizzare. Uno svantaggio dell'uso del Visualizzatore eventi per la traccia Winsock consiste nel fatto che non carica tutte le risorse stringa, in modo che i messaggi visualizzati nel campo Descrizione (una volta selezionato un evento) siano talvolta difficili da leggere (un argomento che deve essere formattato come esadecimale verrà visualizzato in decimale, ad esempio). Tuttavia, è possibile selezionare la scheda Dettagli nella descrizione dell'evento che mostra la voce di log XML non elaborata che in genere ha più facile da comprendere gli argomenti.

Uso di Visualizzatore eventi per avviare la traccia delle modifiche del catalogo Winsock

Quando si apre Visualizzatore eventi, il riquadro sinistro contiene l'elenco di eventi. Aprire Registri applicazioni e servizi e passare a Microsoft\Windows\Winsock Catalog Change (Modifica catalogo Di Microsoft\Windows\Winsock ) come origine e selezionare Operational (Operativo).

Nel riquadro Azione selezionare Proprietà log e selezionare la casella di controllo Abilita registrazione . Dopo aver abilitato la registrazione, è anche possibile modificare le dimensioni del file di log, se necessario.

La traccia delle modifiche del catalogo Winsock è ora abilitata e basta premere l'azione Aggiorna per aggiornare l'elenco di eventi registrati. Per interrompere la registrazione, deselezionare semplicemente lo stesso pulsante di opzione.

Potrebbe essere necessario aumentare le dimensioni del log a seconda del numero di eventi che si desidera visualizzare. Uno svantaggio dell'uso del Visualizzatore eventi per la traccia Winsock consiste nel fatto che non carica tutte le risorse stringa, in modo che i messaggi visualizzati nel campo Descrizione (una volta selezionato un evento) siano talvolta difficili da leggere (un argomento che deve essere formattato come esadecimale verrà visualizzato in decimale, ad esempio). Tuttavia, è possibile selezionare la scheda Dettagli nella descrizione dell'evento che mostra la voce di log XML non elaborata che in genere ha più facile da comprendere gli argomenti.

Interpretazione dei log di traccia winsock

Tutti gli eventi di traccia Winsock in un log contengono due tipi di informazioni:

  • Sistema
  • EventData

Le informazioni di sistema contengono il livello di registrazione, l'ora di creazione della voce di log, l'ID evento che rappresenta il tipo di evento, l'ID processo di esecuzione, l'ID thread di esecuzione e altre informazioni di sistema. Un livello di log pari a 4 nella traccia Winsock rappresenta la registrazione eventi delle informazioni. Un livello di log pari a 5 nella traccia Winsock rappresenta la registrazione degli eventi dettagliata.

L'ID del processo di esecuzione e l'ID del thread nelle informazioni di sistema indicano il processo e il thread in esecuzione quando si è verificato l'evento. In molti casi, questo rappresenterà un kernel o un thread di lavoro e un processo, non un thread in modalità utente e o il processo dell'applicazione. Quindi questo campo non è in genere molto utile.

Ogni tipo di evento di traccia Winsock ha un ID evento univoco nella sezione di sistema dei dati registrati. Questi ID evento possono essere facilmente usati per filtrare un file di log per eventi di traccia Winsock specifici.

Il valore eventdata contiene informazioni specifiche per il tipo di evento.

Il parametro Process nelle informazioni eventdata è l'indirizzo della struttura EPROCESS del kernel per il processo, non il PID effettivo. Per associare un evento al PID in modalità utente, accettare il valore Process dalle informazioni eventdata da qualsiasi voce di log e cercare in precedenza nel log un evento di creazione del socket con il valore Process. Dopo aver trovato una corrispondenza, l'ultimo parametro nei dati dell'evento di creazione del socket è l'ID processo in modalità utente che ha creato il socket.

Un parametro Address nelle informazioni eventdata viene restituito in alcuni eventi di traccia Winsock. Un parametro Address rappresenta un indirizzo IP, ma viene visualizzato nel file di testo creato dallo strumento tracerpt.exe o in Visualizzatore eventi come byte non elaborati o un numero. Gli indirizzi IPv6 vengono visualizzati in formato esadecimale, quindi sono più facilmente comprensibili. Gli indirizzi IPv4 vengono visualizzati come numero decimale elevato. Gli sviluppatori dovranno convertire manualmente i byte non elaborati di un indirizzo IPv4 nella notazione dell'indirizzo IPv4 punteggiato-decimale più familiare per poter interpretare meglio il valore.

Un parametro Error nel valore eventdata viene restituito in alcuni eventi di traccia Winsock. Un parametro Error è sotto forma di codice di errore NTSTATUS o HRESULT. Questo parametro di errore viene visualizzato nel file di testo creato dallo strumento tracerpt.exe o in Visualizzatore eventi come numero decimale. Gli sviluppatori dovranno convertire manualmente il numero decimale in un numero esadecimale per interpretare meglio il codice di errore in alcuni casi.

Traccia Winsock

Dettagli della traccia delle modifiche del catalogo Winsock

Dettagli traccia eventi di Winsock Network

Livelli di traccia Winsock