Что такое файл трассировки и как его создать

Получение трассировки компонентов программы Kaspersky Internet Security

После установки Kaspersky Internet Security могут возникнуть ситуации, при которых операционная система работает нестабильно, например, при загрузке компьютера или при запуске какой-либо задачи появляются сообщения об ошибках в работе операционной системы. В этом случае, скорее всего, имеет место конфликт программы либо с каким-то программным обеспечением, установленным на вашем компьютере, либо с драйверами комплектующих вашего компьютера.

Для решения возникшей проблемы Службе техподдержки Лаборатории Касперского могут потребоваться файлы трассировок компонентов Kaspersky Internet Security .

Описанные ниже действия НЕ РЕКОМЕНДУЕТСЯ выполнять без руководства специалиста Службы технической поддержки. Случайное включение трассировок продукта может привести к потере свободного места на жестком диске.

Охотимся на техники и тактики атакующих с использованием Prefetch-файлов

Файлы трассировки, или Prefetch-файлы, появились в Windows еще со времен XP. С тех пор они помогали специалистам по цифровой криминалистике и реагированию на компьютерные инциденты находить следы запуска программ, в том числе вредоносных. Ведущий специалист по компьютерной криминалистике Group-IB Олег Скулкин рассказывает, что можно найти с помощью Prefetch-файлов и как это сделать.

Prefetch-файлы хранятся в каталоге %SystemRoot%\Prefetch и служат для ускорения процесса запуска программ. Если мы посмотрим на любой из этих файлов, то увидим, что его имя состоит из двух частей: имени исполняемого файла и контрольной суммы от пути к нему, состоящей из восьми символов.

Prefetch-файлы содержат массу полезной с криминалистической точки зрения информации: имя исполняемого файла, количество его запусков, списки файлов и каталогов, с которыми взаимодействовал исполняемый файл, и, разумеется, временные метки. Обычно криминалисты используют дату создания того или иного Prefetch-файла для определения даты первого запуска программы. Кроме того, данные файлы хранят дату ее последнего запуска, а начиная с версии 26 (Windows 8.1) — временные метки семи последних запусков.

Давайте возьмем один из Prefetch-файлов, извлечем из него данные средствами PECmd Эрика Циммермана и посмотрим на каждую их часть. Для демонстрации я извлеку данные из файла CCLEANER64.EXE-DE05DBE1.pf.

Итак, начнем сверху. Разумеется, у нас есть временные метки создания, модификации и доступа к файлу:

Давайте начнем с тактики Initial Access (TA0001) и самой популярной техники — Spearphishing Attachment (T1193). Некоторые киберпреступные группы относятся к выбору таких вложений довольно творчески. Например, группа Silence использовала для этого файлы в формате CHM (Microsoft Compiled HTML Help). Таким образом, перед нами еще одна техника — Compiled HTML File (T1223). Такие файлы запускаются с помощью hh.exe, следовательно, если мы извлечем данные из его Prefetch-файла, то узнаем, какой именно файл был открыт жертвой:

Давайте взглянем на один из наиболее типичных примеров продвижения по сети (TA0008) — PsExec, использующего административные общие ресурсы (T1077). Служба с именем PSEXECSVC (разумеется, может использоваться и любое другое имя, если атакующие использовали параметр -r) будет создана на целевой системе, следовательно, если мы извлечем данные из Prefetch-файла, то увидим, что было запущено:

Разумеется, это не исчерпывающий список техник, которые можно обнаружить в ходе анализа Prefetch-файлов, но этого должно быть вполне достаточно, чтобы понять, что такие файлы могут помочь не только найти следы запуска, но и реконструировать конкретные тактики и техники атакующих.

что это такое, для чего нужна и как правильно пользоваться?

Всем привет! Как вы уже поняли, сегодня я подробно, но максимально кратко попробую рассказать про то – что же такое трассировка маршрута в локальных и глобальных сетях. Также расскажу, в чем отличие измерения трассировки в Windows и Linux. Некоторые думают, что при вводе примерно одинаковых команд инженер будет получать одну и ту же информацию, но на деле это не совсем так – об этом поподробнее чуть ниже.  Если у вас будут какие-то вопросы и дополнения, то пишите в комментариях.

Определение

Трассировка – по сути это тестирование, при котором пользователь может увидеть, по какому пути проходит пакет данных до конечного сервера. То есть через какие узлы он проходит и с какой задержкой. Например, при стандартной команде «Ping» вы получите информацию о времени отклика или время отправки и приема пакета. А при трассировке вы увидите через какие IP узлов проходит этот самый пакет до конечного сервера.

Часто данной утилитой пользуются инженеры или системные администраторы, чтобы выявить слабые стороны сети. В общем, штуковина полезная почти для всех. Далее я расскажу, как сделать трассировку до сайта или до выделенного игрового сервера, а также как вообще ею пользоваться.

Windows

В «окнах» данную функцию выполняет системный модуль или утилита «Tracert». Как вы понимаете она расположена в папке «System32», как и другие подобные микропрограммы. Для запуска обычно нужно использовать командную строку. Утилита спокойно работает как с доменными именами, так и с IP адресами, в том числе IPv4 и IPv6. Также плюс в том, что её не нужно устанавливать и она идет в стандартном пакете Windows на всех версиях: XP, 7, 8, 8.2 и 10.

А теперь давайте попробуем её использоваться. Для этого вам нужно запустить командную строку. В Windows 7 переходим в «Пуск» – «Все программы» – открываем папку «Стандартные», а после этого нажимаем правой кнопкой по командной строке и открываем с правами администратора.

ПРИМЕЧАНИЕ! Также можно открыть через «Win+R» и команду «CMD».

В Windows 10 достаточно нажать правой кнопкой по «Пуску» и далее выбрать консоль с админ правами.

Далее все делается достаточно просто – сначала прописываем команду «tracert», а потом через пробел выписываем IP адрес сервера. Я в качестве примера использовал один известный DNS серверов:

tracert 8.8.8.8

Плюс ещё в том, что можно использовать не только IP, но также и доменное имя, которое состоит из букв. Давайте для примера проведем тест с Яндексом:

tracert yandex.ru

Тут мы видим вид нескольких шагов. Каждый шаг – это прохождение пакета от одного узла к другому. Так же вы видите время прохождения, которое пишется в миллисекундах. Далее вы видите название узла и IP адрес, который указан в скобках. Если же узел не сможет ответить или время ожидания будет превышено, то в столбце времени вы увидите звёздочку (*).

А теперь давайте я расскажу про проблему данного тестирования. Проблема состоит в том, что команда не показывает некоторые узлы, а именно коммутаторы, которые работают со вторым уровнем модели OSI. А все из-за того, что у них нет интерфейсного представления подключенных устройств в IP виде. То есть коммутация происходит на втором уровне, где нет IP адресов, а связь идет с помощью таблицы MAC-адресов. И понятно дело, что в таблице такие узлы не отображаются.

Более подробно советую также почитать про модель OSI и про коммутаторы.

В итоге для данной команды все коммутаторы, работающие со вторым уровнем модели OSI – просто невидимы. «Tracert» использует ICMP (Internet Control Message Protocol) протокол, которые передает данные только в IP пакете, со значением TTL. TTL – это время жизни пакета.

Изначально при отправке пакета на первый узел значение TTL равно единице. И при трассировке отправляется сразу три пакета – именно поэтому мы видим три столбца времени. Если все пакеты приходят обратно, то мы видим время по всем трем столбцам. Далее TTL увеличивается на единицу, и отправляется ещё три пакета на следующий узел. И так до победного конца, пока последний запрос не достигнет конечного узла.

ПРИМЕЧАНИЕ! Если вы видите звездочку, но пакет все равно идет через данный узел, то скорее всего на данном маршрутизаторе или сервере есть настройка, которая не обрабатывает ICMP запросы. Очень часто их используют для DDoS атак – поэтому их обработку иногда отключают.

Как у любой утилиты тут есть список дополнительных параметров, которые могут немного изменить тестирования. Для вызова нужно ввести:

tracert /?

Команда очень полезная не только для работы и тестирования рабочих сетей, но даже для выявления проблем с интернетом. Помню у моего друга постоянно был высокий отклик в «Counter-Strike», но он все никак не мог понять почему – ведь у меня в соседнем доме был пинг на порядок меньше. При трассировке он увидел, что на первом (провайдерском) узле есть сильный застой пакетов. В итоге он обратился к оператору, и им поменяли старый коммутатор, который стоял там, неверное ещё с эпохи Российской Империи.

Linux

Итак, в Windows мы уже разобрались, что трассировку выполняет утилита «tracert.exe». В Linux утилита имеет другое название: «traceroute», – и также выполняет данную функцию, но немного по-другому.

Вспомним немного как работает tracert на примере нижней картинки:

1. Host отправляет узлу «Router1» запрос с TTL = 1.
2. Запрос приходит на «Router1», и он, видя, что TTL равен всего одному, его уменьшает и отправляет ответ.
3. Ответ приходит от первого узла и Host записывает его в таблицу трассировки.
4. Далее идет запрос на второй узел уже с TTL увеличенным на один.
5. Так продолжается до тех пор, пока запрос не дойдет до конечного сервера. Все это делается на основе ICMP протокола.

А проблем в том, что у «tracert» нет возможности сделать запрос с портом, что делает его немного узконаправленным. «Traceroute» работает на основе совершенно другого протокола – UDP. По сути UDP протокол делает запрос именно по портам. А окончание трассировки при достижении пакетом конечного узла происходит в том случае, когда при каждом шаге при увеличении номера порта он становится закрытым на конечном сервере.

Запускаем программу аналогично через консоль. Также у неё есть свои параметры.

Кстати, есть возможность при трассировке использовать не UDP, а ICMP протокол, для этого нужно дописать параметр «-I».

Но что делать, если надо на Windows сделать трассировку по UDP протоколу и использование портов? Для этого нужно будет использовать стороннюю микропрограмму: «tcptrace». Для трассировки маршрута по TCP (и UDP) можно использовать «tcptraceroute».

Создание файла трассировки

Где расположен нужный файл трассировки и как его найти?

Файл трассировки, генерируемый одним из перечисленных выше методов, можно найти в каталоге, на местонахождение которого указывает параметр инициализации Oracle USER_DUMP_DEST. Если неизвестно, где располагается этот каталог, можно выполнить следующий запрос и определить адрес назначения:

SQL-Plus: Release 8.1.5.0.0 - Production on Fri       10 21:19:41 2000 (c) Copyright 1999 Oracle Corporation. All rights reserved. Connected to:

0racle8i Enterprise Edition Release 8.1.5.0.0 - Production With the Partitioning and Java options PL/SQL Release 8.1.5.0.0 - Production SQL> select Value

from V$PARAMETER

where Name =  ' user_dump_desf /* Determine the destination of USER_DUMP_DEST */;

VALUE

/u01/app/oracle/admin/prod815/udump

Для названий файлов трассировки используется формат <$ORACLE_SID>_ora_<ID процесса на серверо. Упомянутый здесь ID процес­са - это столбец Spid представления V$SESSION. Следующий запрос поможет при определении ID процесса на сервере, к которому подключился пользова­тель с именем

Q select S.Username,  P. Spid, S, Program from V$SESSION S, V$PROCESS P

where S.PADDR = P.ADDR

and S.Username = 'ST00V;

Если, используя приведенный выше метод, не удается определить ID процес-
ca сервера/сеанса (потому что есть несколько сеансов, включая и данный, кото-
рые зарегистрированы с тем же самым именем        в случае, если мы
работаем в среде UNIX, имеется еще один способ отыскания файла трассиров-
ки. Этот метод не слишком элегантен и является релевантным только для при-
(пользовательских запущенных с того сервера, на
котором выполняется база данных Oracle. Более того, все сказанное далее будет
справедливо только для приложений, поддерживающих команду host. Приве-
денные ниже шаги помогут в определении разыскиваемого файла трассировки.

Подчеркнем, что предлагаемый метод непригоден для идентификации файлов

трассировки в среде Windows NT.

О SQL>!       Host out of SQbPlus,  Do not exit

/* Determine the processes within your current shell. This is to determine the process ID of your SQL*Plus session */

1262 pts/2    0:00 tcsh

1279 pts/2   0:03 sqlplus

1327 pts/2   0:00 ksh $ps -ef | grep 1279 /* Now scan all processes on the system and filter out the ones with your SQL*Plus's process ID. This is to determine the process ID of the server process that this SOL*Plus session is attached to */

oracle 1280 1279 0 21:41:00 ?         0:12 oracleprod815 (DESCRIPTION=aOCAL=YES)(ADDRESS=(PROTOCOL=beq)))

oracle 1279 1262 0        pts/2     0:03 sqlplus

oracle 1327 1279 0 22:38:57 pts/2        0:00 /bin/ksh

\

$cd /u01/app/oracle/admin/prod815/udump /* Change directory to the USER_DUMP_DESTdirectory*/

$ls        | grep 1280 total 816

-rw-ree        1 oracle dba    408548 Nov 10 21:04 prod815_ora_1280.trc

Выполнение tkprof для файлов трассировки

Следующий шаг процесса настройки SQL - выполнение утилиты 

tkprof, 

tkprof, 

C:\tkprof

Usage: tkprof tracefile outputfile [explain= ]  [table= ]

[print= ]   [insert= ]   [sys= ]   [sort= ] table=schema.tablename Use 'schema.tablename' with 'explain^ option.

explain=user/password Connect to ORACLE and issue EXPLAIN PLAN.

print=integer   List only the first 'integer' SQL statements. aggregate=yes|no

List SQL statements and data inside INSERT statements.

sys=no        TKPROF does not list SQL statements run 

as 

record=filename Record non-recursive statements found in the trace file,

sort=option       Set of zero or more of the following sort options: prscnt    number of times parse was called prscpu    cpu time parsing

prsela   elapsed time parsing

prsdsk   number of disk reads during parse

prsqry  number of buffers for consistent read during parse

prscu     number of buffers for current read during parse prsmis    number of misses in library cache during parse execnt    number of execute was called

execpu   cpu time spent executing exeela   elapsed time executing exedsk  number of disk reads during execute

exeqr-y    number of buffers for consistent read during execute ■

execu   number of buffers for current read during execute exerow   number of rows processed during execute exemis   number of library cache misses during execute fchcnt   number of times fetch was called fchcpu   cpu time spent fetching fchela   elapsed time fetching fchdsk   number of disk reads during fetch fchqry   number of buffers for consistent read during fetch fchcu    number of buffers for current read during fetch fchrow   number of rows fetched userid   userid of user that parsed the cursor

Как можно заметить, имеется много опций, доступных для сортировки вы­ходных данных трассировки, которая выполняется при указании sort=<opti-оп> в командной строке. Опция сортировки имеет по умолчанию значение 

fchela- 

данной опции.

Если желательно, чтобы план выполнения был отображен как часть выход­ных данных сортировки, необходимо убедиться, что идентификатор пользова­теля userid, который вы специфицировали для выполнения Explain Plan в 

tkprof, 

utlxplan.sql, 

Ниже приведен пример прогона 

tkprof, 

именем 

с. 

tkprof 

output.рг, 

benchmark 

benchmark, 

J $tkprof prod8l5_ora_1280.trc output prf explain=benchmark/benchmark sys=no sort=fchdsk

К предпочитаемым сортировкой опциям относятся 

prsela, excela и/ске'м, 

критерий/chela, 

select 

fchela 

select. 

exeela 

гичный выход можно получить для суммарного физического ввода/вывода (операций ввода/вывода, которым не удалось найти требующихся Oracle бло­ков в буферном кэше базы данных), применяя для этого сортировку вида sort=(prsdsk,exedsk,fchdsk).

Общее число логического ввода/вывода (операции ввода/вывода, которые нашли требующиеся Oracle блоки в буферном кэше базы данных) можно полу­чить, указав sort^prsqiy.prscu.exeqiy.execu.fchqryTchcu) Важно понимать, что сортировка по логическому вводу/выводу является более согласованным мето­дом, так как физический ввод/вывод может изменяться по различным причи­нам, скажем, из-за увеличения размера буферного кэша базы данных. Логический ввод/вывод предлагает возможность сравнить, как много эконо­мится времени ЦП при условии, что логический ввод/вывод (манипуляции с буферным кэшем базы данных) потребляет циклы ЦП.

Замечание

Для того чтобы выполнить 

tkprof 

tkprof

.NET | Трассировка

C# и .NET --- Основы .NET --- Трассировка

С помощью трассировки можно просматривать сообщения из работающего приложения.

Чтобы получить информацию о работающем приложении, его можно запустить в отладчике. Во время отладки приложение можно выполнять пошагово и помещать точки останова на определенных строках и по достижению определенных условий. Проблема, связанная с отладкой, состоит в том, что программа с рабочим кодом может вести себя иначе, чем программа с отладочным кодом.

Например, когда выполнение программы прерывается в точке останова, другие потоки приложения также приостанавливаются. Кроме того, в рабочей сборке вывод компилятора оптимизирован, и потому могут проявляться другие эффекты. Поэтому существует потребность в получении информации и от рабочей сборки. Трассировочные сообщения записываются как отладочным, так и рабочим кодом.

Ниже описан сценарий, демонстрирующий пользу трассировки. После того, как приложение развернуто, оно успешно выполняется на одной системе, в то время как на другой системе периодически возникают проблемы. После включения подробной трассировки система с проблемами предоставит детальную информацию о том, что происходит внутри приложения. Система, работающая без проблем, поддерживает трассировку, сконфигурированную только на перенаправление сообщений об ошибках в систему протоколирования событий Windows. Критичные ошибки просматриваются системным администратором.

Накладные расходы, связанные с трассировкой, очень невелики, потому что уровень трассировки конфигурируется только при необходимости.

Архитектура трассировки состоит из четырех основных частей:

Источник (source)

Источник информации трассировки. Вы используете его для отправки трассировочной информации.

Переключатель (switch)

Определяет уровень информации для протоколирования. Например, можно запрашивать только информацию об ошибках или детальную многословную информацию.

Слушатели (listener)

Определяют, куда должны быть записаны сообщения трассировки.

Фильтры (filter)

Слушатели могут иметь присоединенные фильтры (filter). Фильтр определяет, как трассировочные сообщения должны быть записаны слушателем. Таким образом для одного и того же источника можно иметь различные слушатели, которые пишут различные уровни информации.

Класс TraceSource использует переключатель для определения протоколируемой информации. У TraceSource есть коллекция TraceListenerCollection, ассоциированная с ним, куда отправляются сообщения трассировки. Коллекция состоит из объектов TraceListener, и каждый слушатель имеет подключенный к нему TraceFilter.

Многие технологии .NET используют источники трассировки, которые понадобится просто включить, чтобы увидеть, что происходит. Например, в WPF определяет помимо прочих источники с именами System.Windows.Data, System.Windows.RoutedEvent, System.Windows.Markup, System.Windows.Media.Animation. Однако для включения трассировки WPF необходимо не только сконфигурировать слушателей, но также установить внутри ключа реестра НКЕY_CURRENT_USER\Software\MicrosoftTracing\WPF новый ключ DWORD по имени ManagedTracing со значением 1. Классы из пространства имен System.Net используют источник трассировки System.Net, а WCF — источники трассировки System.ServiceModel и System.ServiceModel.MessageLogging.

Источники трассировки

Трассировочные сообщения записываются с помощью класса TraceSource. Трассировка требует установки флага Trace компилятора. В проекте Visual Studio флаг Trace по умолчанию установлен для отладочных и рабочих сборок, но это можно изменить через свойства Build (Сборка) проекта.

При записи трассировочных сообщений класс TraceSource использовать труднее по сравнению с классом Trace, однако он предлагает больше опций. Для записи трассировочных сообщений потребуется создать экземпляр Trace

Time Travel - Работа с файлами трассировки - Драйверы Windows

• 22.01.2020
• 7 минут на чтение

В этой статье

В этом разделе описывается, как работать с файлами, созданными и использованными при отладке путешествия во времени.

Обзор файла трассировки

Time Travel Debugging использует следующие файлы для отладки выполнения кода.

• Файл трассировки содержит запись выполнения кода и имеет расширение .RUN.

• Индексный файл обеспечивает быстрый доступ к информации в файле трассировки и имеет расширение .IDX.

• Ошибки записи и другие выходные данные записи записываются в файл журнала отладчика.

Трассировка файлов .RUN

Trace.Файлы RUN могут быть открыты после их записи с помощью File > Start debugging > Open trace file .

Все файлы вывода трассировки по умолчанию хранятся в папке документов пользователя. Например, для User1 файлы TTD будут храниться здесь:

  C: \ Users \ User1 \ Documents  

Вы можете изменить расположение файлов трассировки, когда начнете запись. Для получения дополнительной информации см. Отладка путешествия во времени - Запись.

Самый последний использованный список файлов позволяет быстро получить доступ к ранее используемым целевым файлам конфигурации. Также перечислены все недавно использованные файлы трассировки или файлы дампа.

Индексные файлы .IDX

Индексный файл .IDX создается для связанного файла трассировки .RUN автоматически при открытии файла трассировки в WinDbg Preview. Вы можете вручную создать индексный файл с помощью команды! Index. Индекс позволяет быстрее получить доступ к информации трассировки.

IDX также могут быть большими, обычно в два раза больше, чем файл .RUN.

Восстановление файла .IDX

Вы можете воссоздать файл .IDX из файла .RUN с помощью команды ! Index . Дополнительные сведения см. В разделе Отладка путешествия во времени -! Index (путешествие во времени).

  0: 0: 001>! Индекс Индексированные 3/3 ключевых кадра Индекс успешно создан за 49 мс.  

Совместное использование файлов TTD Trace .RUN

TTD является только локальным и не работает удаленно при подключении к другой машине.

TTD могут быть переданы другим пользователям путем копирования файла .RUN. Это может быть удобно, если коллега поможет вам разобраться в проблеме. Им не нужно устанавливать аварийное приложение или выполнять какие-либо другие настройки, чтобы попытаться воспроизвести проблему. Они могут просто загрузить файл трассировки и отладить приложение, как если бы оно было установлено на их ПК.

Машина, на которой вы воспроизводите трассировку TTD, должна поддерживать все инструкции, которые использовались на записывающей машине, например инструкции AVX.

Вы можете переименовать файл, включив в него любую дополнительную информацию, например дату или номер ошибки.

Файл .IDX не нужно копировать, так как его можно воссоздать с помощью команды! Index, как описано выше.

Совет

Сотрудничая с другими, передайте любые соответствующие позиции трассировки, связанные с рассматриваемой проблемой. Сотрудник может использовать команду ! Tt x: y , чтобы перейти к этому точному моменту времени в выполнении кода. Диапазоны временного положения могут быть включены в описания ошибок, чтобы отслеживать, где может возникнуть возможная проблема.

- файл журнала

Ошибки записи и другие выходные данные записи записываются в файл журнала отладчика. Чтобы просмотреть файл журнала, выберите Просмотр > Журналы .

В этом примере показан текст журнала ошибок при попытке запустить и записать исполняемый файл с именем Foo.exe, которого нет в каталоге C: \ Windows.

  21.09.2017: 17: 18: 10: 320: Информация: DbgXUI.dll: TTD: Вывод: Microsoft (R) TTD 1.01.02 Релиз: 10.0.16366.1000 Авторское право (C) Корпорация Microsoft.Все права защищены. Запуск C: \ Windows \ Foo.exe 2017-09-21: 17: 18: 10: 320: Ошибка: DbgXUI.dll: TTD: Ошибки: Ошибка: след C: \ Windows \ Foo.exe PID: 0 не завершился успешно: статус: 27 Ошибка: не удалось открыть Foo.exe; файл не найден. Ошибка: поврежденная трассировка выгружена в C: \ Users \ User1 \ Documents \ Foo01.run.err.  

Размер файла трассировки

TTD могут стать очень большими, и важно убедиться, что у вас достаточно свободного места на диске. Если вы записываете приложение или процесс даже на несколько минут, файл трассировки может вырасти до нескольких гигабайт.Размер файла трассировки зависит от ряда факторов, описанных ниже.

TTD не устанавливает максимальный размер файлов трассировки для сложных длительных сценариев. При быстром повторном создании проблемы размер файла трассировки будет как можно меньше.

Коэффициенты размера файла трассировки

Невозможно предоставить точную оценку размера файла трассировки, но есть несколько практических правил, которые помогут вам понять размеры файлов TTD.

На размер файла трассировки могут влиять следующие факторы:

• Количество инструкций кода, выполненных во всех потоках при записи запущенного приложения или процесса
• Продолжительность времени, в течение которого было записано приложение или процесс (только поскольку это влияет на количество записанных инструкций кода)
• Размер данных памяти, используемых приложением или процессом

Количество выполненных и записанных инструкций является самым большим фактором, влияющим на размер файла трассировки.Трассировка обычно требует от 1 бита до 1 байта на выполняемую инструкцию. Трассировка, вероятно, будет ближе к нижней границе этого диапазона, когда записанная программа выполняет меньшее количество отдельных функций и работает с меньшим набором данных. Трассировка, вероятно, будет ближе к верхнему пределу этого диапазона, когда записанная программа выполняет большее количество различных функций или работает с большим набором данных.

Практическое правило размера файла трассировки

Размер файла трассировки увеличивается примерно с 5 МБ до 50 МБ в секунду при записи активного приложения или процесса, в зависимости от указанных выше факторов размера файла трассировки.

Файл трассировки не будет увеличиваться, когда записываемое приложение или процесс находится в режиме ожидания (например, при ожидании ввода).

В настоящее время не существует ограничения на максимальный размер файлов трассировки. WinDbg Preview может воспроизводить файлы трассировки размером до сотен гигабайт.

Размер индексного файла

Индексный файл автоматически создается программой WinDbg Preview, когда вы открываете трассировку в первый раз. Он содержит информацию, которая помогает отладчику более эффективно воспроизводить трассировку и запрашивать информацию о памяти.Его размер обычно составляет от 1 до 2 раз больше размера файла трассировки. Факторы, влияющие на его размер, аналогичны факторам, влияющим на размер файла трассировки.

Во-первых, размер индексного файла масштабируется относительно длины трассы. Трассировка, содержащая большее количество записанных инструкций, обычно будет иметь больший индекс.

Во-вторых, размер индекса масштабируется относительно ширины доступа к памяти. Если программа, которая была записана, часто обращалась к большому количеству отдельных ячеек памяти, индекс обычно будет больше, чем если бы программа, которая была записана, обращалась к меньшему количеству отдельных ячеек памяти или если бы доступ к ячейкам памяти был менее частым.

Поскольку эти факторы аналогичны факторам, которые влияют на размер файла трассировки, размер файла индекса обычно масштабируется относительно размера файла индекса (таким образом, по нашей оценке, он обычно составляет от 1х до 2х размера файла трассировки). файл).

Что делать, если мне не хватает места на диске?

На диск записываются файлы трассировки и индекса TTD. В настоящее время не существует ограничения на максимальный размер файла трассировки или файла индекса. Размер файла трассировки увеличивается до тех пор, пока вы не прекратите запись или не превысите объем доступного дискового пространства.

Во время записи: TTD запишет последнюю страницу в файл трассировки, а затем фактически будет ждать, пока он сможет снова записать. WinDbg продолжает отображать диалоговое окно «Запись», но не выводит сообщение об ошибке / предупреждении, если во время записи не хватает места на диске.

Отсутствие свободного места на диске во время записи приводит к появлению файла трассировки с неполной записью выполнения кода. Неполный файл трассировки можно открыть в WinDbg Preview, но он может не включать фактическую проблему, если ошибка возникает после нехватки места на диске при записи файла трассировки.

Обходной путь: откройте проводник и проверьте, почти не осталось ли свободного места на диске (например, диске C:). В качестве альтернативы просмотрите файл трассировки (.RUN) в проводнике (по умолчанию в папке «Документы»), и если он не увеличивается регулярно, запись может быть отложена. Нажмите кнопку «Остановить и отладить» в WinDbg, освободите место или сохраните файл на другой диск и снова начните запись.

Во время индексирования: Отладчик может создать недопустимый индексный файл, что приведет к непредсказуемому поведению отладчика, или может произойти сбой хоста модуля отладчика.

Обходной путь: закройте отладчик и удалите любой индексный файл (.idx), который может существовать для вашей трассировки. Либо освободите достаточно места на диске, либо переместите файл трассировки на другой диск с достаточным свободным пространством. Снова откройте трассировку в отладчике и запустите! Index, чтобы создать новый правильный индекс. При индексировании исходный файл трассировки (.run) не изменяется, поэтому данные не будут потеряны.

См. Также

Отладка путешествия во времени - Обзор

Что такое файл трассировки и как он создается?

- Их создают такие процессы, как dbwr, lgwr, pmon, smon.

- Файлы трассировки также создаются из-за ошибки ORA-00600 или из-за некоторых событий диагностического дампа.

- Средство трассировки SQL предоставляет информацию о производительности для отдельных операторов SQL.

Он генерирует следующую статистику для каждого оператора:

a.Счетчики синтаксического анализа, выполнения и выборки.
г. ЦП и прошедшее время.
г. Физические чтения и логические чтения.
г. Количество обработанных строк.
e. Промахи по кешу библиотеки.
ф. Имя пользователя, под которым производился каждый синтаксический анализ.
г. Каждый коммит и откат.

- Средство трассировки SQL можно включить для сеанса или для экземпляра.

- Когда функция трассировки SQL включена, статистика производительности для всех операторов SQL, выполняемых в пользовательском сеансе или в экземпляре, помещается в файлы трассировки.

- Дополнительные накладные расходы, связанные с запуском средства трассировки SQL для приложения с проблемами производительности, обычно незначительны по сравнению с внутренними накладными расходами, вызванными неэффективностью приложения.

Что такое матрица прослеживаемости требований (RTM)? Пример шаблона

• Home

• Testing

  • • Back
    • Agile Testing
    • BugZilla
    • Cucumber
    • Тестирование базы данных
    • A Testing
    • Jmeter
    • Jmeter Backing
    • Jmeter LoadRunner
    • Ручное тестирование
    • Мобильное тестирование
    • Mantis
    • Почтальон
    • QTP
    • Назад
    • Центр качества (ALM)
    • RPA
    • SAP Testing
    • Selenink
    • Управление тестированием Selenink

• SAP

  • • Назад
    • ABAP
    • APO
    • Начинающий
    • Basis
    • BODS
    • BI
    • BPC
    • CO
    • Назад
    • CRM
    • Crystal Reports
    • FICO
    • HANA
    • Назад
    • PI / PO
    • PP
    • SD
    • SAPUI5
    • Безопасность
    • Менеджер решений
    • Successfactors
    • SAP Tutorials
• Apache
• ASP.Net
• C
• C #
• C ++
• CodeIgniter
• СУБД
• JavaScript

• Назад
• Java
• JSP
• Kotlin
• Linux
• Linux
• Kotlin
• Linux
js
• Perl

• Назад
• PHP
• PL / SQL
• PostgreSQL
• Python
• ReactJS
• Ruby & Rails
• Scala
• SQL
000
• SQL
000 0003 SQL 000 0003 SQL 000
• UML
• VB.Net
• VBScript
• Веб-службы
• WPF

  typedef struct _EVENT_TRACE_LOGFILEA { LPSTR LogFileName; LPSTR LoggerName; LONGLONG CurrentTime; ULONG BuffersRead; union { ULONG LogFileMode; ULONG ProcessTraceMode; } DUMMYUNIONNAME; EVENT_TRACE CurrentEvent; TRACE_LOGFILE_HEADER LogfileHeader; PEVENT_TRACE_BUFFER_CALLBACKA BufferCallback; ULONG BufferSize; ULONG Заполнено; ULONG EventsLost; union { PEVENT_CALLBACK EventCallback; PEVENT_RECORD_CALLBACK EventRecordCallback; } DUMMYUNIONNAME2; ULONG IsKernelTrace; PVOID Context; } EVENT_TRACE_LOGFILEA, * PEVENT_TRACE_LOGFILEA;