-guid
MOF定义文件,默认的GUID是mofdata.guid,你也可以进行指定。
-rt
产生一个real-time trace文件。如果要指定这个选项,tracelog必须是在工作的。
-summary
只提供summary.txt文件。一般像这样用就可以了,Tracedmp c:\logfile.etl。你当然也可以tracedmp -rt ds,来显示realtime记录。
39. Traceenable.exe (Trace Enable)
这是一个用来enable/disable RAS/RADIUS记录的GUI工具。这个工具允许我们修改
HKLM\SOFTWARE\Microsoft\Tracing key下的
EnableConsoleTracing
EnableFileTracing
MaxFileSize
三个subkeys。如果你熟悉注册表的话,也可以直接修改。图形界面的工具就不多说了。提一下面板中的几个选项。
Global
enable console tracing
允许你实时看目录。
enable pool tagging
打开system pool标记。
Per Component
enable console tracing
在控制台窗口中显示日志跟踪信息。
enable file tracing
把信息保存到一个日志文件中。一般在%windir%\tracing。
max file size
文件的最大尺寸。
如果你是在一台才安装的计算机中启用这个东东的话,有些键值会不在注册表中,那就是说在Trace Enable中也看不到,你需要先运行RasPhone。
40. Tracelog.exe (Trace Log)
说了半天终于说到这个tracelog.exe了。这个命令行工具可以开始,停止,启用跟踪记录,这些记录可以用Tracedmp或者是Reducer来看。tracelog在运行时将建立一个buffer,然后如果有数据进入buffer它可以把这些数据转换为文件保存,也可以进行实时的跟踪,这个时候我们可以用如tracedmp这样的应用程序读出buffer中的数据。
tracelog managementoption bufferoption logfileoption Systemleveltracingoption
Provider-specificOption -h│-?
managementOption: Starting, stopping, updating and querying
-guid file
和tracedmp中的是一样的,都是表示provider的信息。如果开始System tracing可以不用提供Guid,如果是directory service events我们可以指定control.guid。
-start logger_name
开始一个trace会话。你要提供一个日志名字,如果是一个system trace可以不需要指定,默认的名字为“NT
Kernel logger”。
-stop logger_name
终止trace会话。如果是system trace可以不用指定logger_name。
-update option logger_name
升级当前的trace会话。这个东西在你想改变文件的名字,buffer的参数,realtime模式等时候就会被用到。
以下这些option可以在kernel logger中用到。
-rt
模式开关,调整realtime mode。
-f logfile_name
指定新的log文件的名字。
-ft n
改变buffer的刷新计数器。
-max n
改变buffer的大小。
"-nodisk" "-noprocess" "-nothread" "-nonet" "-fio" "-pf" "-hf" "-img" "-cm"
NT kernel logger的一些标志。
上面这些调整可以一次进行,如:tracelog -update -rt -max 40。
-x
停止所有活动的会话。
-l
查询在工作的traces。
-q
只查询system trace。
BufferOption
-b n
设置buffer的大小为n kb。小的buffer会导致经常刷新buffer,基本上使用默认就好。
-min n
设置最小buffer,默认是2。
-max n
设置最大buffer,默认是25。
-ft n_seconds
设置刷新时间。
-age n_minutes
修改老化时间。就是分配的buffer没有使用,会在多长时间内被释放。
LogfileOption
-rt b
启用real time mode。
-f name
日志的名字。默认是c:\logfile.etl,如果要使用不同的名字用-o filename。
-seq n_mbyte
一直使用到n_mbyte。
-cir n_mbyte
循环使用n_mbyte。
Systemleveltracingoption
为kernel tracing提供更多的选项。
默认情况下kernel tracing包括
Process start/end
Disk I/O
Network TCP/IP, UDP/IP
Thread start/end
只有在使用一些开关后,才会产生下面的内容。
Image Load
Registry calls
File I/O
Page Fault
但是trace这些东西会产生很大的负担。
-fio
启用file I/O tracing。
-pf
启用page faults tracing。
-hf
启用hard faults tracing。
-img
启用image load tracing。
-um
启用Process Private tracing。这种情况下buffer建立在Private Process space中,默认是在kernel
space中。
-nf
每n mb更新文件。
ProviderSpecificOption: Provider Level Options
-level n
-flags
这些都和相应的provider有关。
下面看个例子,
打开trace。
c:\>tracelog –start
Logger Started...
Operation Status: 0L
The operation completed successfully.
Logger Name: NT Kernel Logger
Logger Id: ffff
Logger Thread Id: 1360
Buffer Size: 8 Kb
Maximum Buffers: 25
Minimum Buffers: 2
Number of Buffers: 2
Free Buffers: 1
Buffers Written: 3
Events Lost: 0
Log Buffers Lost: 0
Real Time Buffers Lost: 0
Log File Mode: Sequential
Enabled tracing: Process Thread Disk TcpIp
Log Filename: C:\LogFile.Etl
停止trace
C:\>tracelog –stop
Operation Status: 0L
The operation completed successfully.
Logger Name: NT Kernel Logger
Logger Id: ffff
Logger Thread Id: 1360
Buffer Size: 8 Kb
Maximum Buffers: 25
Minimum Buffers: 2
Number of Buffers: 2
Free Buffers: 2
Buffers Written: 7
Events Lost: 0
Log Buffers Lost: 0
Real Time Buffers Lost: 0
Log File Mode: Sequential
Log Filename: C:\LogFile.Etl
收集和分析一个系统的各种信息对于管理员是日常工作中很重要的一块,使用合适的工具可以大大简化这样的工作负担。也许tracelog会是个很好的工具。
41. Tzdit.exe (Time Zone Editor)
这个工具可以用来改变Time zone记录,可以编辑现有的记录,也可以自己弄一个自己喜欢的时区出来,没有多大意思。需要管理员身份使用。一般来说大家都不会去改这种东西,而且又是个GUI工具,这里就不多说了。
42. uptime.exe
这个命令行工具可以通过分析event log来一台服务器的可靠性,有效性和当前的正常工作时间。目标系统可以是本地也可以是远程。显示的内容很多,比如该机器的关机,重起,系统故障,服务包安装等等内容,可以比较全面的判定一个系统的稳定情况。虽然这个程序对于privilege没有什么特别的要求,但是微软推荐大家以administrator(为了使用System Performance Counter来完成工作)的身份运行该程序。对于这个程序来说时区会对程序的计算造成一些影响,这个在分析远程主机的时候需要特别注意。
uptime server /s /a /d:mm/dd/yyyy │/p:n /heartbeat /?│/help
server
要分析的主机的ip或者是name。本地可以不用指定。
/s
主要的系统事件和统计。
/a
显示应用程序失败时间。
/d:
计算mm/dd/yyyy以后的事件。
/p:n
计算先前n天的事件。
/heartbeat
打开或者是关闭heartbeat。
为了能够正确的反映系统的状况,heartbeat需要被指定,heartbeat实际上就是一个time stamp会在一个固定的间隔(5分钟)内写到系统的注册表中。根据这个时间戳我们可以分析系统的稳定性,但是这个东西会影响到电源策略的使用,所以不推荐在Laptop中使用。启用heartbeat使用以下命令:
uptime /heartbeat [\\computer]。
在Windows 2000 Server中这个是默认启用的,但是奇怪我使用这个命令的时候,我的Adanced Server竟然不支持system heartbeat,呵呵!这个东西本来是可以看出Stop Errors,也就是我们平常说的Blue Screens错误。但是我使用2000以后还真没有见过Blue Screen。可见2000还是很稳定的。
下面举个例子:
C:\>uptime
\\HELLO has been up for: 0 day(s), 2 hour(s), 32 minute(s), 25 second(s)
C:\>uptime /p:2 /s
Uptime Report for: \\HELLO
Time Zone: China Standard Time
System Events as of 2002-3-3 20:06:38:
Date: Time: Event: Comment:
---------- ----------- ------------------- ----------------------
2002-3-1 11:41:03 Boot Prior downtime:0d 11h:29m:30s
2002-3-1 13:07:21 Shutdown Prior uptime:0d 1h:26m:18s
2002-3-1 17:20:18 Boot Prior downtime:0d 4h:12m:57s
2002-3-1 18:23:27 Shutdown Prior uptime:0d 1h:3m:9s
2002-3-1 18:25:39 Boot Prior downtime:0d 0h:2m:12s
2002-3-1 18:27:17 Shutdown Prior uptime:0d 0h:1m:38s
2002-3-1 18:53:14 Boot Prior downtime:0d 0h:25m:57s
2002-3-1 19:03:54 Shutdown Prior uptime:0d 0h:10m:40s
2002-3-1 19:47:41 Boot Prior downtime:0d 0h:43m:47s
2002-3-1 20:51:02 Shutdown Prior uptime:0d 1h:3m:21s
2002-3-1 20:52:07 Boot Prior downtime:0d 0h:1m:5s
2002-3-1 22:13:20 Shutdown Prior uptime:0d 1h:21m:13s
2002-3-1 22:14:24 Boot Prior downtime:0d 0h:1m:4s
2002-3-1 22:15:38 Shutdown Prior uptime:0d 0h:1m:14s
2002-3-1 22:16:41 Boot Prior downtime:0d 0h:1m:3s
2002-3-1 22:18:22 Shutdown Prior uptime:0d 0h:1m:41s
2002-3-1 22:19:27 Boot Prior downtime:0d 0h:1m:5s
2002-3-1 23:28:31 Shutdown Prior uptime:0d 1h:9m:4s
2002-3-2 9:12:03 Boot Prior downtime:0d 9h:43m:32s
2002-3-2 12:02:48 Shutdown Prior uptime:0d 2h:50m:45s
2002-3-2 12:03:52 Boot Prior downtime:0d 0h:1m:4s
2002-3-2 12:11:18 Shutdown Prior uptime:0d 0h:7m:26s
2002-3-2 16:42:54 Boot Prior downtime:0d 4h:31m:36s
2002-3-2 19:50:04 Shutdown Prior uptime:0d 3h:7m:10s
2002-3-2 19:51:35 Boot Prior downtime:0d 0h:1m:31s
2002-3-3 0:06:38 Shutdown Prior uptime:0d 4h:15m:3s
2002-3-3 8:28:09 Boot Prior downtime:0d 8h:21m:31s
2002-3-3 10:16:30 Shutdown Prior uptime:0d 1h:48m:21s
2002-3-3 10:17:32 Boot Prior downtime:0d 0h:1m:2s
2002-3-3 14:26:48 Shutdown Prior uptime:0d 4h:9m:16s
2002-3-3 17:01:51 Boot Prior downtime:0d 2h:35m:3s
2002-3-3 17:23:22 Shutdown Prior uptime:0d 0h:21m:31s
2002-3-3 17:24:20 Boot Prior downtime:0d 0h:0m:58s
2002-3-3 17:32:23 Shutdown Prior uptime:0d 0h:8m:3s
2002-3-3 17:33:22 Boot Prior downtime:0d 0h:0m:59s
Current System Uptime: 0 day(s), 2 hour(s), 33 minute(s), 16 second(s)
Estimate based on last boot record in the event log.
See UPTIME /help for more detail.
--------------------------------------------------------------------------------
Since 2002-3-1: (Last 2 Days)
System Availability: 37.9457%
Total Uptime: 1d 1h:50m:42s
Total Downtime: 1d 18h:15m:56s
Total Reboots: 18
Mean Time Between Reboots: 0.16 days
Total Bluescreens: 0
Notes:
There is insufficient data in the event log to calculate
system availability. Please see UPTIME /help for more detail.
基本上就是这样的。
43. W2000msgs.chm (Windows 2000 Error and Event Messages Help)
这个帮助文件列出了Win2k产生的绝大部分错误,也给出了相应的解释和纠正错误的方法。在这个文档里面也包括了部分应用程序和启动程序的错误,对这个有兴趣的人就仔细看看吧!内容挺多的。
以上43个各型工具就算作是ResKit介绍的第一部分了,里面有几个工具对于大家来说是十分有用的。之所以没有把它们挑出来,是因为希望大家对所有的程序都看一下,即使记不住全部,但有一个印象要用到的时候就可以很快找到。最后,希望大家满意!!呵呵!因为写得比较仓促啦,肯定会有一些错误,希望大家提出来,让我加以改正。后面的东西会尽快更新 .
Resource Kit 第二部分
这一部分包括的类型很多,大家依照自己的喜好看!!
一、调试工具
1. Ntdetect.com(Installd.cmd): Startup Hardware Detector
在x86-based计算机里面,Win2000使用NTDetect来在启动的时候侦测系统中安装的各种硬件,并且显示这些传递给kernel的硬件信息结构。有些时候标准版的NTDetect.com会难以侦测到你想要的全部硬件,这个时候你就可以使用我面在这里介绍的这个版本的NTDetect,这是个一个Debug Version。它可以为您提供更多的诊断信息,也可以比较方便的分析出问题的所在。
NTDetect可以显示如系统组件,总线,适配器组件,硬盘几何结构,ROM块,键盘,COM口,并口,鼠标以及磁盘驱动器的信息,还是挺多的吧!呵呵!这些东东显示完以后,在按个键你还可以接着显示HKEY_LOCAL_MACHINE\HARDWARE\Controllerx的内容。
上面这些东西都完了以后,你还可以通过简单的按空格键来使用LastKnownGood控制设备来代替Current控制设备来启动系统。这个可以让系统用上一次的配置重新启动。
Debug版的NTDetect安装起来很容易使用installd.cmd就可以,卸载的的时候可以用installd /not来。这个很容易。注意,如果NTDetect丢失的话,系统将不能正常启动,需要修复。所以,在使用这个工具的时候请大家慎重!!!
文章转载地址:http://www.cnpaf.net/Class/hack/05121820345153482348.htm
