DTrace sekarang tersedia di Windows

Pembaruan fitur Windows 10 berikutnya (Pembaruan 19H1, April 2019, versi 1903) akan menyertakan dukungan untuk DTrace, alat debugging dan diagnostik open source yang populer. Ini awalnya dibuat untuk Solaris, dan tersedia untuk Linux, FreeBSD, NetBSD, dan macOS. Microsoft telah porting ke Windows.

DTrace adalah kerangka kerja penelusuran dinamis yang memungkinkan admin atau pengembang untuk melihat sistem secara real-time baik dalam mode pengguna atau kernel. DTrace memiliki gaya C tingkat tinggi dan bahasa pemrograman yang kuat yang memungkinkan Anda untuk memasukkan titik jejak secara dinamis. Dengan menggunakan titik jejak yang dimasukkan secara dinamis ini, Anda dapat memfilter kondisi atau kesalahan, menulis kode untuk menganalisis pola kunci, mendeteksi kebuntuan, dll.

Di Windows, DTrace memperluas Pelacakan Peristiwa untuk Windows (ETW) yang statis dan tidak menyediakan kemampuan untuk menyisipkan titik jejak secara terprogram saat runtime.

Semua API dan fungsionalitas yang digunakan oleh dtrace.sys adalah panggilan yang didokumentasikan.

Microsoft telah menerapkan driver khusus untuk Windows 10 yang memungkinkan melakukan sejumlah peran pemantauan sistem. Driver akan disertakan dengan Windows 10 versi 1903. Juga, DTrace saat ini membutuhkan Windows untuk memulai dengan debugger kernel yang diaktifkan.

Kode sumber untuk alat DTrace yang di-porting tersedia di GitHub. Kunjungi halaman “DTrace di Windows” di bawah proyek OpenDTrace di GitHub untuk melihatnya.

Setup DTrace di Windows 10

Prasyarat untuk menggunakan fitur

• Orang dalam Windows 10 membangun 18342 atau lebih tinggi
• Hanya tersedia di x64 Windows dan menangkap info penelusuran hanya untuk proses 64-bit
• Program Orang Dalam Windows adalah diaktifkan dan dikonfigurasi dengan Akun Windows Insider yang valid.
  • Kunjungi Pengaturan-> Pembaruan & Keamanan-> Program Windows Insider untuk detailnya

instruksi:

1. Set konfigurasi BCD:
   1. bcdedit / atur dtrace aktif
   2. Catatan, Anda perlu mengatur opsi bcdedit lagi, jika Anda meningkatkan ke versi Insider baru
2. Unduh dan instal paket DTrace dari Pusat Unduhan.
   1. Ini menginstal komponen mode pengguna, driver dan fitur tambahan pada paket permintaan yang diperlukan agar DTrace berfungsi.
3. Opsional: Perbarui variabel lingkungan PATH untuk memasukkan C:\Program Files\DTrace
   1. set PATH=%PATH%;"C:\Program Files\DTrace"
4. Mempersiapkan jalur simbol
   1. Buat direktori baru untuk menyimpan simbol secara lokal. Contoh: mkdir c:\simbol
   2. Mengatur _NT_SYMBOL_PATH=srv*C:\simbol*http://msdl.microsoft.com/download/symbols
   3. DTrace secara otomatis mengunduh simbol yang diperlukan dari server simbol dan menyimpannya ke jalur lokal.
5. Opsional:Siapkan debugger Kernel koneksi ke mesin target (tautan MSDN). Ini adalah hanya diperlukan jika Anda ingin melacak peristiwa Kernel menggunakan FBT atau penyedia lain.
   1. Perhatikan bahwa Anda perlu menonaktifkan Secureboot dan Bitlocker di C:, (jika diaktifkan), jika Anda ingin menyiapkan debugger kernel.
6. Menyalakan ulang mesin sasaran

Menggunakan DTrace

1. Buka dan prompt perintah yang ditinggikan.
2. Jalankan salah satu perintah berikut:

   # Rangkuman syscall menurut program selama 5 detik: dtrace -Fn "tick-5sec { exit (0);} syscallentry{ @num[pid, execname] = count();} " # Meringkas set timer/membatalkan program untuk 3 detik: dtrace -Fn "tick-3sec { exit (0);} syscall:: Nt*Timer*:entry { @[probefunc, execname, pid] = count();}" # Dump System Process kernel structure: (memerlukan jalur simbol ke diatur) dtrace -n "BEGIN{print(*(struct nt`_EPROCESS *) nt`PsInitialSystemProcess);exit (0);}" # Menelusuri jalur melalui NTFS saat menjalankan notepad.exe (memerlukan KD a

Perintah dtrace -lvn syscall akan mencantumkan semua probe dan parameternya yang tersedia dari penyedia syscall.

Berikut ini adalah beberapa penyedia yang tersedia di Windows dan apa yang mereka instrumen.

• panggilan sistem – Panggilan sistem NTOS
• fbt (Function Boundary Tracing) – Entri dan pengembalian fungsi kernel
• pid – Pelacakan proses mode pengguna. Seperti FBT kernel-mode, tetapi juga memungkinkan instrumentasi offset fungsi arbitrer.
• etw (Pelacakan Peristiwa untuk Windows) – Memungkinkan probe didefinisikan untuk ETW Penyedia ini membantu memanfaatkan instrumentasi sistem operasi yang ada di DTrace.
  • Ini adalah salah satu tambahan yang telah kami lakukan pada DTrace untuk memungkinkannya mengekspos dan mendapatkan semua informasi yang sudah disediakan Windows ETW.

Lebih banyak contoh skrip yang berlaku untuk skenario Windows dapat ditemukan di ini direktori sampel.

Sumber: Microsoft