DTrace hiện đã có trên Windows

Bản cập nhật tính năng Windows 10 tiếp theo (19H1, Bản cập nhật tháng 4 năm 2019, phiên bản 1903) sẽ bao gồm hỗ trợ DTrace, công cụ chẩn đoán và gỡ lỗi nguồn mở phổ biến. Ban đầu nó đã được xây dựng cho Solaris và có sẵn cho Linux, FreeBSD, NetBSD và macOS. Microsoft đã chuyển nó sang Windows.

Quảng cáo

DTrace là một khuôn khổ theo dõi động cho phép quản trị viên hoặc nhà phát triển có được cái nhìn theo thời gian thực về hệ thống ở chế độ người dùng hoặc nhân. DTrace có ngôn ngữ lập trình mạnh mẽ và cấp độ cao kiểu C cho phép bạn chèn động các điểm theo dõi. Sử dụng các điểm theo dõi được chèn động này, bạn có thể lọc các điều kiện hoặc lỗi, viết mã để phân tích các mẫu khóa, phát hiện bế tắc, v.v.

cách thay đổi địa chỉ mac của bạn trên android

Trên Windows, DTrace mở rộng tính năng Theo dõi sự kiện cho Windows (ETW), tính năng này là tĩnh và không cung cấp khả năng chèn các điểm theo dõi theo chương trình trong thời gian chạy.

Tất cả các API và chức năng được dtrace.sys sử dụng là các lệnh gọi được lập thành văn bản.

nút bắt đầu không hoạt động sau khi cập nhật Windows 10

Microsoft đã triển khai một trình điều khiển đặc biệt cho Windows 10 cho phép thực hiện một số vai trò giám sát hệ thống. Trình điều khiển sẽ được bao gồm trong Windows 10 phiên bản 1903. Ngoài ra, DTrace hiện yêu cầu Windows được khởi động với trình gỡ lỗi hạt nhân được bật.

Mã nguồn của công cụ DTrace đã chuyển có sẵn trên GitHub. Truy cập trang “ DTrace trên Windows ”Trong dự án OpenDTrace trên GitHub để xem nó.

Thiết lập DTrace trong Windows 10

Điều kiện tiên quyết để sử dụng tính năng

• Windows 10 nội bộ xây dựng 18342 hoặc cao hơn
• Chỉ có trên x64 Windows và nắm bắt thông tin theo dõi chỉ dành cho các quy trình 64-bit
• Chương trình Người dùng nội bộ Windows Là được kích hoạt và cấu hình với Tài khoản Người dùng nội bộ Windows hợp lệ
  • Truy cập Cài đặt-> Cập nhật & Bảo mật-> Chương trình Người dùng nội bộ Windows để biết chi tiết

Hướng dẫn:

facebook cách thay đổi ảnh đại diện mà không cần đăng

1. Bộ cấu hình BCD :
   1. bcdedit / set dtrace on
   2. Lưu ý, bạn cần đặt lại tùy chọn bcdedit, nếu bạn nâng cấp lên phiên bản Insider mới
2. Tải xuống và cài đặt gói DTrace từ Trung tâm tải xuống .
   1. Điều này cài đặt các thành phần chế độ người dùng, trình điều khiển và các gói tính năng bổ sung theo yêu cầu cần thiết để DTrace hoạt động.
3. Tùy chọn: Cập nhật Biến môi trường PATH bao gồm C: Program Files DTrace
   1. đặt PATH =% PATH%; 'C: Program Files DTrace'
4. Thiết lập con đường biểu tượng
   1. Tạo một thư mục mới cho các ký hiệu bộ nhớ đệm cục bộ. Ví dụ: mkdir c: Symbol
   2. Bộ _NT_SYMBOL_PATH = srv * C: Symbol * http://msdl.microsoft.com/download/symbols
   3. DTrace tự động tải xuống các ký hiệu cần thiết từ máy chủ ký hiệu và lưu vào bộ nhớ đệm vào đường dẫn cục bộ.
5. Không bắt buộc: Thiết lập trình gỡ lỗi hạt nhân kết nối với máy đích ( Liên kết MSDN ). Đây là chỉ có cần thiết nếu bạn muốn theo dõi các sự kiện Kernel bằng FBT hoặc các nhà cung cấp khác.
   1. Lưu ý rằng bạn sẽ cần phải tắt Secureboot và Bitlocker trên C :, (nếu được bật), nếu bạn muốn thiết lập trình gỡ lỗi hạt nhân.
6. Khởi động lại máy mục tiêu

Sử dụng DTrace

1. Mở một dấu nhắc lệnh nâng cao .
2. Thực hiện một trong các lệnh sau:

   # Tóm tắt cuộc gọi điện theo chương trình trong 5 giây: dtrace -Fn 'tick-5sec {exit (0);} syscall ::: entry {@num [pid, executename] = count ();}' # Tóm tắt bộ hẹn giờ đặt / hủy chương trình trong 3 giây: dtrace -Fn 'tick-3sec {exit (0);} syscall :: Nt * Timer *: entry {@ [probefunc, executename, pid] = count ();}' # Cấu trúc hạt nhân của Quy trình hệ thống: (yêu cầu đặt đường dẫn ký hiệu) dtrace -n 'BEGIN {print (* (struct nt`_EPROCESS *) nt`PsInitialSystemProcess); exit (0);}' # Theo dõi đường dẫn qua NTFS khi chạy notepad.exe (yêu cầu KD a

Lệnh dtrace -lvn syscall ::: sẽ liệt kê tất cả các đầu dò và các thông số của chúng có sẵn từ nhà cung cấp cuộc gọi tổng đài.

Sau đây là một số nhà cung cấp có sẵn trên Windows và công cụ của họ.

• syscall - Các cuộc gọi hệ thống NTOS
• fbt (Truy tìm ranh giới hàm) - Nhập và trả về hàm nhân
• pid - Theo dõi quy trình ở chế độ người dùng. Giống như FBT chế độ hạt nhân, nhưng cũng cho phép thiết bị đo các hiệu số chức năng tùy ý.
• sth (Theo dõi sự kiện dành cho Windows) - Cho phép xác định các đầu dò cho ETW Nhà cung cấp này giúp tận dụng thiết bị hệ điều hành hiện có trong DTrace.
  • Đây là một bổ sung mà chúng tôi đã thực hiện đối với DTrace để cho phép nó hiển thị và lấy tất cả thông tin mà Windows đã cung cấp trong ETW .

Có thể tìm thấy thêm các tập lệnh mẫu áp dụng cho các trường hợp Windows trong này thư mục mẫu .

Nguồn: Microsoft