Конфигурация на стороне Windows

Чтобы настроить прием событий DNS-сервера с помощью коннектора ETW на стороне Windows:

  1. Запустите программу Просмотр событий, выполнив следующую команду:

    eventvwr.msc

  2. В открывшемся окне перейдите в папку Журналы программ и служб → Microsoft → Windows → DNS-сервер.
  3. В контекстном меню папки DNS-Server выберите пункт Вид → Отобразить аналитический и отладочный журналы.

    Win_for_etw_1_en

    Отобразятся журнал событий отладки Audit и журнал событий Analytical.

  4. Настройте аналитический журнал событий:
    1. В контекстном меню журнала событий Analytical выберите пункт Свойства.

    Win_for_etw_3_en

    1. В открывшемся окне убедитесь, что в поле Максимальный размер журнала (КБ) указано значение 1048576.

    Win_for_etw_3_en

    1. Установите флажок Включить ведение журнала и в окне подтверждения нажмите на кнопку ОК.

    Win_for_etw_4_en

    Параметры аналитического журнала событий должны быть настроены следующим образом:

    Win_for_etw_5_en

    1. Нажмите на кнопку Применить, а затем нажмите на кнопку ОК.

    Откроется окно с ошибкой.

    Win_for_etw_6_en

    Если включена ротация аналитического журнала, события не отображаются. Чтобы просмотреть события, в панели Действия нажмите на кнопку Остановить журнал.

    Win_for_etw_7_en

  5. Запустите Управление компьютером от имени администратора.
  6. В открывшемся окне перейдите в папку Системные инструменты → Производительность → Сеансы отслеживания событий запуска.

    Win_for_etw_8_en

  7. Создание поставщика:
    1. В контекстном меню папки Сеансы отслеживания событий запуска выберите пункт Создать → Группа сборщиков данных.
    2. В открывшемся окне введите имя поставщика и нажмите на кнопку Далее.
    3. Нажмите на кнопку Добавить и в открывшемся окне выберите поставщика Microsoft-Windows-DNSServer.

    Win_for_etw_11_en

    Агент KUMA с коннектором ETW работает только с System.Provider.Guid: {EB79061A-A566-4698-9119-3ED2807060E7} - Microsoft-Windows-DNSServer.

    1. Нажмите на кнопку Далее, а затем нажмите на кнопку Готово.
  8. В контекстном меню созданного провайдера выберите пункт Запустить как сеанс отслеживания событий.

    Win_for_etw_12_en

  9. Перейдите в папку Сеансы отслеживания событий.

    Отобразятся сеансы отслеживания событий.

  10. В контекстном меню созданного сеанса отслеживания событий выберите пункт Свойства.
  11. В открывшемся окне выберите вкладку Сеансы отслеживания и в раскрывающемся списке Режим потока выберите Режим реального времени.

    Win_for_etw_13_en

  12. Нажмите на кнопку Применить, а затем нажмите на кнопку ОК.

Получение событий DNS-сервера с помощью коннектора ETW настроено.

В начало