DTrace är nu tillgängligt på Windows

Nästa Windows 10-uppdateringsfunktion (19H1, april 2019-uppdatering, version 1903) kommer att innehålla stöd för DTrace, det populära felsöknings- och diagnosverktyget för öppen källkod. Den har ursprungligen byggts för Solaris och blev tillgänglig för Linux, FreeBSD, NetBSD och macOS. Microsoft har portat det till Windows.

Annons

DTrace är ett dynamiskt spårningsramverk som tillåter en administratör eller utvecklare att få en realtidsvy i ett system antingen i användar- eller kärnläge. DTrace har ett högt C-format och kraftfullt programmeringsspråk som låter dig dynamiskt infoga spårpunkter. Med hjälp av dessa dynamiskt infogade spårpunkter kan du filtrera på villkor eller fel, skriva kod för att analysera låsmönster, upptäcka dödlås etc.

vad betyder födelsedagstårta på snapchat

På Windows utökar DTrace Event Tracing for Windows (ETW) vilket är statiskt och inte ger möjlighet att programmatiskt infoga spårpunkter vid körning.

Alla API: er och funktioner som används av dtrace.sys är dokumenterade samtal.

var man kan hitta människor att kika

Microsoft har implementerat en speciell drivrutin för Windows 10 som gör det möjligt att utföra ett antal systemövervakningsroller. Drivrutinen kommer att ingå i Windows 10 version 1903. Dessutom kräver DTrace för närvarande att Windows startas med en kärnfelsökare aktiverad.

Källkoden för det portade DTrace-verktyget finns på GitHub. Besök sidan “ DTrace på Windows ”Under OpenDTrace-projektet på GitHub för att se det.

Installera DTrace i Windows 10

Förutsättningar för att använda funktionen

• Windows 10 insider bygga 18342 eller högre
• Endast tillgänglig den x64 Windows och registrerar spårningsinformation endast för 64-bitars processer
• Windows Insider-program är aktiverad och konfigurerad med giltigt Windows Insider-konto
  • Besök Inställningar-> Uppdatering och säkerhet-> Windows Insider-program för mer information

Instruktioner:

hur man söker på Google-ark

1. BCD-konfigurationsuppsättning :
   1. bcdedit / sätt dtrace på
   2. Obs! Du måste ställa in alternativet bcdedit igen om du uppgraderar till en ny Insider-build
2. Ladda ner och installera DTrace-paketet från nedladdningscenter .
   1. Detta installerar komponenterna för användarläge, drivrutiner och ytterligare paketfunktioner som krävs för att DTrace ska fungera.
3. Valfritt: Uppdatera PATH-miljövariabel att inkludera C: Program Files DTrace
   1. ställa in PATH =% PATH%; 'C: Program Files DTrace'
4. Uppstart symbolväg
   1. Skapa en ny katalog för caching-symboler lokalt. Exempel: mkdir c: symboler
   2. Uppsättning _NT_SYMBOL_PATH = srv * C: symboler * http://msdl.microsoft.com/download/symbols
   3. DTrace laddar automatiskt ner de nödvändiga symbolerna från symbolservern och cachar till den lokala sökvägen.
5. Frivillig: Installera kärnfelsökare anslutning till målmaskinen ( MSDN-länk ). Detta är endast krävs om du vill spåra kärnhändelser med FBT eller andra leverantörer.
   1. Observera att du måste inaktivera Secureboot och Bitlocker på C :, (om aktiverat) om du vill ställa in en kärnfelsökare.
6. Starta om målmaskin

Använda DTrace

1. Öppna en förhöjd kommandotolk .
2. Utför något av följande kommandon:

   # Syscall-sammanfattning efter program i 5 sekunder: dtrace -Fn 'tick-5sec {exit (0);} syscall ::: entry {@num [pid, execname] = count ();}' # Sammanfatta timerinställning / avbryt program i 3 sekunder: dtrace -Fn 'tick-3sec {exit (0);} syscall :: Nt * Timer *: post {@ [probefunc, execname, pid] = count ();}' # Dump System Process kernel structure: (kräver att symbolvägen är inställd) dtrace -n 'BEGIN {print (* (struct nt`_EPROCESS *) nt`PsInitialSystemProcess); exit (0);}' # Spårvägar genom NTFS när du kör notepad.exe (kräver KD a

Kommandot dtrace -lvn syscall ::: kommer att lista alla sonder och deras parametrar som är tillgängliga från syscall-leverantören.

Följande är några av de leverantörer som finns tillgängliga på Windows och vad de instrumenterar.

• syscall - NTOS-systemanrop
• fbt (Funktionsgränsspårning) - Kärnfunktionsinmatning och retur
• pid - Processpårning i användarläge. Som FBT i kärnläge, men också tillåter instrumentering av godtyckliga funktionsförskjutningar.
• sth (Event Tracing för Windows) - Tillåter att sonder definieras för ETW. Denna leverantör hjälper till att utnyttja befintligt operativsystemsinstrumentering i DTrace.
  • Detta är ett tillägg som vi har gjort till DTrace för att låta det exponera och få all information som Windows redan tillhandahåller ETW .

Fler exempelskript som är tillämpliga för Windows-scenarier finns i detta provkatalog .

Källa: Microsoft