DTrace artık Windows'ta kullanılabilir

Bir sonraki Windows 10 özellik güncellemesi (19H1, Nisan 2019 Güncellemesi, sürüm 1903), popüler açık kaynak hata ayıklama ve tanılama aracı olan DTrace desteğini içerecek. Başlangıçta Solaris için inşa edilmiştir ve Linux, FreeBSD, NetBSD ve macOS için kullanılabilir hale gelmiştir. Microsoft, Windows'a taşıdı.

DTrace, bir yöneticinin veya geliştiricinin bir sisteme kullanıcı veya çekirdek modunda gerçek zamanlı bir bakış elde etmesini sağlayan dinamik bir izleme çerçevesidir. DTrace, izleme noktalarını dinamik olarak eklemenizi sağlayan C tarzı yüksek seviyeli ve güçlü bir programlama diline sahiptir. Dinamik olarak eklenen bu izleme noktalarını kullanarak, koşullara veya hatalara göre filtreleyebilir, kilit modellerini analiz etmek için kod yazabilir, kilitlenmeleri tespit edebilir, vb.

Windows'ta DTrace, statik olan ve çalışma zamanında programlı olarak izleme noktaları ekleme yeteneği sağlamayan Windows için Olay İzleme'yi (ETW) genişletir.

dtrace.sys tarafından kullanılan tüm API'ler ve işlevler belgelenmiş çağrılardır.

Microsoft, Windows 10 için bir dizi sistem izleme rolünün gerçekleştirilmesine izin veren özel bir sürücü uygulamıştır. Sürücü, Windows 10 sürüm 1903'e dahil edilecektir. Ayrıca, DTrace şu anda Windows'un etkinleştirilmiş bir çekirdek hata ayıklayıcıyla başlatılmasını gerektiriyor.

Taşınan DTrace aracının kaynak kodu GitHub'da mevcuttur. sayfasını ziyaret edin”Windows'ta DTrace” GitHub üzerinde OpenDTrace projesi altında görmek için.

Windows 10'da DTrace Kurulumu

Özelliği kullanmak için ön koşullar

• Windows 10 içeriden 18342 inşa veya daha yüksek
• Yalnızca şu adreste kullanılabilir: x64 Windows ve yalnızca 64 bit işlemler için izleme bilgilerini yakalar
• Windows Insider Programı NS etkinleştirilmiş ve yapılandırılmış geçerli Windows Insider Hesabı ile
  • Ayrıntılar için Ayarlar->Güncelleme ve Güvenlik->Windows Insider Programı'nı ziyaret edin.

Talimatlar:

1. BCD yapılandırma seti:
   1. bcdedit / dtrace'i aç
   2. Yeni bir Insider derlemesine yükseltirseniz, bcdedit seçeneğini yeniden ayarlamanız gerektiğini unutmayın.
2. İndirmek ve DTrace paketini şuradan yükleyin: İndirme Merkezi.
   1. Bu, DTrace'in işlevsel olması için gerekli olan kullanıcı modu bileşenlerini, sürücüleri ve isteğe bağlı ek özellikleri yükler.
3. İsteğe bağlı: Güncelle PATH ortam değişkeni içermek C:\Program Dosyaları\DTrace
   1. PATH=%PATH% olarak ayarla;"C:\Program Files\DTrace"
4. Kurmak sembol yolu
   1. Sembolleri yerel olarak önbelleğe almak için yeni bir dizin oluşturun. Örnek: mkdir c:\symbols
   2. Ayarlamak _NT_SYMBOL_PATH=srv*C:\semboller*http://msdl.microsoft.com/download/symbols
   3. DTrace gerekli sembolleri sembol sunucusundan otomatik olarak indirir ve yerel yola önbelleğe alır.
5. İsteğe bağlı:Çekirdek hata ayıklayıcısını kurun hedef makineye bağlantı (MSDN bağlantısı). Bu bir tek FBT veya diğer sağlayıcıları kullanarak Çekirdek olaylarını izlemek istiyorsanız gereklidir.
   1. Bir çekirdek hata ayıklayıcı kurmak istiyorsanız, C:'de (etkinleştirilmişse) Secureboot ve Bitlocker'ı devre dışı bırakmanız gerekeceğini unutmayın.
6. yeniden başlat hedef makine

DTrace'i kullanma

1. bir açın yükseltilmiş komut istemi.
2. Aşağıdaki komutlardan birini yürütün:

   # 5 saniye boyunca programa göre sistem çağrısı özeti: dtrace -Fn "tick-5sec { exit (0);} syscallentry{ @num[pid, execname] = count();} " # Zamanlayıcıyı 3 için ayarla/iptal et saniye: dtrace -Fn "tick-3sec { çıkış (0);} sistem çağrısı:: Nt*Timer*:entry { @[probefunc, execname, pid] = count();}" # Dump System İşlem çekirdek yapısı: (gerektirir sembol yolu ayarlanacak) dtrace -n "BEGIN{print(*(struct nt`_EPROCESS *) nt`PsInitialSystemProcess);exit (0);}" # notepad.exe'yi çalıştırırken NTFS üzerinden yolları izleme (KD a gerektirir)

Komuta dtrace -lvn sistem çağrısı sistem çağrısı sağlayıcısında bulunan tüm probları ve parametrelerini listeler.

Aşağıda, Windows'ta bulunan bazı sağlayıcılar ve bunların araçları yer almaktadır.

• sistem çağrısı – NTOS sistem çağrıları
• fbt (Function Boundary Tracing) – Kernel fonksiyon girişi ve dönüşleri
• pid – Kullanıcı modu süreç izleme. Çekirdek modu FBT gibi, ancak aynı zamanda isteğe bağlı işlev ofsetlerinin enstrümantasyonuna da izin veriyor.
• etw (Windows için Olay İzleme) – ETW için araştırmaların tanımlanmasına izin verir Bu sağlayıcı, DTrace'deki mevcut işletim sistemi enstrümantasyonundan yararlanmaya yardımcı olur.
  • Bu, Windows'un halihazırda sağladığı tüm bilgileri açığa çıkarmasına ve kazanmasına izin vermek için DTrace'e yaptığımız bir eklemedir. ETW.

Windows senaryoları için geçerli olan daha fazla örnek komut dosyası bu bölümde bulunabilir. örnekler dizini.

Kaynak: Microsoft