Windows事件追踪入门与运用方式(2)

发布时间：2022-01-21 14:39 所属栏目：117 来源：互联网

导读：我们已经认识到了什么是事件追踪，那么下面我们就来了解如何使用Windows事件追踪（ETW）通过例子来介绍ETW是***办法。最近有位工程师告诉我他需要知道活动目录如何响应提交给域控制器的Unix客户端身份验证LDAP请求

我们已经认识到了什么是事件追踪，那么下面我们就来了解如何使用Windows事件追踪（ETW）

通过例子来介绍ETW是***办法。最近有位工程师告诉我他需要知道活动目录如何响应提交给域控制器的Unix客户端身份验证LDAP请求。他使用Unix命令去查看在Unix端绑定请求，也希望在Windows端能有类似的输出结果，输出显示如下：

[23/Sep/2010:15:04:44 +0200] conn=31 fd=65 slot=65 connection from 10.50.20.173 to 10.50.12.119
[23/Sep/2010:15:04:44 +0200] conn=31 op=0 BIND dn="uid=dorsa,ou=people,o=Corp.net" method=128 version=3
[23/Sep/2010:15:04:44 +0200] conn=31 op=0 RESULT err=0 tag=97 nentries=0 etime=0 dn="uid=dorsa,ou=people,o=corp.net"
[23/Sep/2010:15:04:44 +0200] conn=31 op=1 SRCH base="ou=people,o=hp.com" scope=2 filter="(|(uid=dorsa)(cn=mdilln.dodgcty))" attrs=ALL
[23/Sep/2010:15:04:44 +0200] conn=31 op=1 RESULT err=0 tag=101 nentries=2 etime=0
[23/Sep/2010:15:04:44 +0200] conn=31 op=2 UNBIND
[23/Sep/2010:15:04:44 +0200] conn=31 op=2 fd=65 closed - U1
[23/Sep/2010:15:04:44 +0200] conn=29 op=-1 fd=64 closed error 11 (Resource temporarily unavailable) -

为了得到这个输出结果，我打开NTDS Diagnostics 注册表键，它位于HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics，同时把LDAP Interface值设为5.这仅提供了运行的操作时间，和Unix输出还没有太大关系，所以我决定试试ETW。因为使用Windows Server 2003，所以我使用Active Directory: Core提供者，它能提供详细的LDAP信息。

以下步骤和命令用于创建一个ETW追踪和生成日志。这些命令能为这位Unix工程师保存身份验证过程中的LDAP数据。同时，我在C盘下创建ETW文件夹来存储所有的数据。

1.C:>Logman Query Providers --该命令列出所有可用的提供者。注意，我们希望能得到LDAP的信息，所以使用的提供者是Active Directory: Core。

2.Logman create trace “LDAP1” –p “Active Directory: core” –o c:\etw\LDAP1 LDAP1 --这是追踪的名字（可以在追踪列表里找到它）。

-identifies指定Active Directory: Core 作为提供者
-o指定输出文件（后缀名为.etl）路径C:\etw\ldap1。输出文件将保存为LDAP1_000001.etl。请注意，当追踪第二次运行时，输出文件将被命名为LDAP1_000002.etl，以此类推。
3.一旦Logman create trace追踪命令成功执行，您就可以使用命令：C:>Logman Query在命令队列中看到此命令。在图3中， LDAP1追踪显示在红色方框内。请注意这些追踪我已经设置为可以随时启动和停止以重复使用。

（编辑：ASP站长网）