Настройка на стороне Windows

Чтобы настроить получение событий DNS-сервера с помощью коннектора ETW на стороне Windows:

  1. Запустите Просмотр событий (англ. Event viewer), выполнив команду:

    eventvwr.msc

  2. В открывшемся окне перейдите в директорию Журналы приложений и служб → Microsoft → Windows → DNS-Server.
  3. Откройте контекстное меню директории DNS-Server и выберите пункт Вид → Отобразить аналитический и отладочный журналы.

    Win_for_etw_1_ru

    Отобразится отладочный журнал Audit и аналитический журнал Analytical.

  4. Настройте аналитический журнал:
    1. Откройте контекстное меню аналитического журнала Analytical и выберите пункт Свойства.

      Win_for_etw_2_ru

    2. В открывшемся окне убедитесь, что в поле Макс. размер журнала (КБ) указано значение 1048576.

      Win_for_etw_3_ru

    3. Установите флажок Включить ведение журнала и в открывшемся окне подтверждения нажмите на кнопку ОК.

      Win_for_etw_4_ru

      Параметры аналитического журнала должны быть настроены следующим образом:

      Win_for_etw_5_ru

    4. Нажмите на кнопку Применить, после чего нажмите на кнопку ОК.

    Отобразится окно с ошибкой.

    Win_for_etw_6_ru

    При включенной ротации аналитического журнала события не отображаются. Для просмотра событий в панели Действия нажмите на кнопку Остановить журнал.

    Win_for_etw_7_ru

  5. Запустите Управление компьютером (англ. Computer management) от имени администратора.
  6. В открывшемся окне перейдите в директорию Служебные программы → Производительность → Сеансы отслеживания событий запуска.

    Win_for_etw_8_ru

  7. Создайте поставщика:
    1. Откройте контекстное меню директории Сеансы отслеживания событий запуска и выберите пункт Создать → Группа сборщиков данных.

      Win_for_etw_9_ru

    2. В открывшемся окне введите имя поставщика и нажмите на кнопку Далее.

      Windows_10

    3. Нажмите на кнопку Добавить... и в открывшемся окне выберите поставщика Microsoft-Windows-DNSServer.

      Win_for_etw_11_ru

      Агент KUMA с коннектором ETW работает только с System.Provider.Guid: {EB79061A-A566-4698-9119-3ED2807060E7} - Microsoft-Windows-DNSServer.

    4. Дважды нажмите на кнопку Далее, после чего нажмите на кнопку Готово.
  8. Откройте контекстное меню созданного поставщика и выберите пункт Запустить как сеанс отслеживания событий.

    Win_for_etw_13_ru

  9. Перейдите в директорию Сеансы отслеживания событий.

    Отобразятся сеансы отслеживания событий.

  10. Откройте контекстное меню созданного сеанса отслеживания событий и выберите пункт Свойства.
  11. В открывшемся окне выберите вкладку Сеансы отслеживания и в раскрывающемся списке Режим потока выберите Режим реального времени.

    Win_for_etw_14_ru

  12. Нажмите на кнопку Применить, после чего нажмите на кнопку ОК.

Настройка получения событий DNS-сервера с помощью коннектора ETW будет завершена.

В начало