Настройка на стороне Windows

Чтобы настроить получение событий DNS-сервера с помощью коннектора ETW на стороне Windows:

  1. Запустите Просмотр событий (англ. Event viewer), выполнив команду:

    eventvwr.msc

  2. В открывшемся окне перейдите в директорию Журналы приложений и служб → Microsoft → Windows → DNS-Server.
  3. Откройте контекстное меню директории DNS-Server и выберите пункт Вид → Отобразить аналитический и отладочный журналы.

    Win_for_etw_1_en.png

    Отображение аналитического и отладочного журнала

    Отобразится отладочный журнал Audit и аналитический журнал Analytical.

  4. Настройте аналитический журнал:
    1. Откройте контекстное меню аналитического журнала Analytical и выберите пункт Свойства.

    Win_for_etw_2_en.png

    Переход в свойства аналитического журнала Analytical

    1. В открывшемся окне убедитесь, что в поле Макс. размер журнала (КБ) указано значение 1048576.

    Win_for_etw_3_en.png

    Свойства аналитического журнала Analytical

    1. Установите флажок Включить ведение журнала и в открывшемся окне подтверждения нажмите на кнопку ОК.

    Win_for_etw_4_en.png

    Окно подтверждения

    Параметры аналитического журнала должны быть настроены следующим образом:

    Win_for_etw_5_en.png

    Проверка корректности параметров аналитического журнала Analytical

    1. Нажмите на кнопку Применить, после чего нажмите на кнопку ОК.

    Отобразится окно с ошибкой.

    Win_for_etw_6_en.png

    Окно ошибки

    При включенной ротации аналитического журнала события не отображаются. Для просмотра событий в панели Действия нажмите на кнопку Остановить журнал.

    Win_for_etw_7_en.png

    Остановка журнала

  5. Запустите Управление компьютером (англ. Computer management) от имени администратора.
  6. В открывшемся окне перейдите в директорию Служебные программы → Производительность → Сеансы отслеживания событий запуска.

    Win_for_etw_8_en.png

    Управление компьютером

  7. Создайте поставщика:
    1. Откройте контекстное меню директории Сеансы отслеживания событий запуска и выберите пункт Создать → Группа сборщиков данных.

    Win_for_etw_9_en.png

    Создание группы сборщиков данных

    1. В открывшемся окне введите имя поставщика и нажмите на кнопку Далее.

    Win_for_etw_10_en.png

    Ввод имени поставщика

    1. Нажмите на кнопку Добавить... и в открывшемся окне выберите поставщика Microsoft-Windows-DNSServer.

    Win_for_etw_11_en.png

    Выбор поставщика

    Агент KUMA с коннектором ETW работает только с System.Provider.Guid: {EB79061A-A566-4698-9119-3ED2807060E7} - Microsoft-Windows-DNSServer.

    1. Дважды нажмите на кнопку Далее, после чего нажмите на кнопку Готово.
  8. Откройте контекстное меню созданного поставщика и выберите пункт Запустить как сеанс отслеживания событий.

    Win_for_etw_13_en.png

    Запуск поставщика

  9. Перейдите в директорию Сеансы отслеживания событий.

    Отобразятся сеансы отслеживания событий.

  10. Откройте контекстное меню созданного сеанса отслеживания событий и выберите пункт Свойства.
  11. В открывшемся окне выберите вкладку Сеансы отслеживания и в раскрывающемся списке Режим потока выберите Режим реального времени.

    Win_for_etw_14_en.png

    Настройка режима потока

  12. Нажмите на кнопку Применить, после чего нажмите на кнопку ОК.

Настройка получения событий DNS-сервера с помощью коннектора ETW будет завершена.

В начало