1. 下载安装Message Analyzer
从Message Analyzer下载链接下载,安装过程从略。
说明:关于Message Analyzer的视频教程(youtube上的视频,可能需要科学上网),可以在程序主界面上看到。
2. 连接远端进行实时查看
-
启动,点击New Session,在弹出的New Session界面中点击Live Trace
-
在打开的Live Trace设置界面中,点击Edit按钮打开Edit Target Computers设置界面,如下图
-
添加ETW Providers
可以通过Select Scenario或者Add Providers来添加ETW Provider, 可以通过下面的过滤选项进一步过滤。注:Select Scenario预定义了一些默认的Provider,方便采集对应的事件,不用手动挨个添加了。也可以自定义Scenario。
Trouble Shooting
1. 如果出现如下错误提示请确认几点
-
远端机器必须是win8及以上系统才支持remote capture。
-
远端机器是否开启了允许通过WinRM进行远程服务管理。
-
远端机器防火墙是否阻止了5985 5986两个端口。
注:测试的时候,为了方便可以关闭防火墙
-
确保输入的用户名密码是正确的,或者存在有效的凭据。
-
添加远端Host到信任列表里。
只需要按照图中的提示进行操作即可!以管理员权限启动Powershell依次运行如下两条命令:- WinRM quickconfig -quiet
- WinRM --% set winrm/config/client @{TrustedHosts="bcnvm-pc"}
注:可以运行WinRM --% get winrm/config/client 来查看已经信任过的host
- 如果运行WinRM --% set winrm/config/client @{TrustedHosts="bcnvm-pc"} 提示如下错误,需要改变网络类型为域或专用。
- 如果运行 WinRM --% set winrm/config/client @{TrustedHosts="bcnvm-pc"} 提示如下错误,需要手动设置对应的组策略为未配置再运行该命令即可。
2. 如果还是连不上,请确保远端允许通过WinRM进行远程服务管理
因为Windows Message Analyzer基于Windows Remote Management (WinRM),所以要确保远端开启WinRM服务。
注:可以按如下步骤在远端机器上进行配置,配置好后,需要重启生效!!!
运行gpedit.msc命令打开本地组策略编辑器,开启 计算机配置->管理模板->Windows组件->Windows远程管理(WinRM)->WinRM服务->允许通过WinRM进行远程服务器管理,如下图:
注:如果不开启,得到的错误提示很具有误导性。
3. 如果收不到期待的日志信息,请到远端机器上查看是否有对应的ETW provider
Message Analyzer默认会从本机列出所有可用的ETW Provider,远端机器上不一定有!