如何关联 ETW 跟踪中的 RPC 调用?
问题描述 投票:0回答:2
我记录了一个应用程序在 Windows 上执行本地 RPC 调用的痕迹。我使用 xperf 并启用了 Microsoft-Windows-RPC 提供程序。打开跟踪后,我意识到关联客户端和服务器调用并不是那么简单。通过一个例子来解释这个问题会更容易。
客户端发送的 RpcClientCall 事件之一如下所示:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-RPC" Guid="{6ad52b32-d609-4be9-ae07-ce8dae937e39}" />
<EventID>5</EventID>
<Version>1</Version>
<Level>4</Level>
<Task>1</Task>
<Opcode>1</Opcode>
<Keywords>0x4000000000000000</Keywords>
<TimeCreated SystemTime="2017-01-02T18:21:54.825009200+0059" />
<Correlation ActivityID="{f9ace53a-28fe-4129-ac24-8d04ea0a79a9}" />
<Execution ProcessID="10688" ThreadID="5384" ProcessorID="7" KernelTime="30" UserTime="15" />
<Channel>Microsoft-Windows-RPC/Debug</Channel>
<Computer />
</System>
<EventData>
<Data Name="InterfaceUuid">{e60c73e6-88f9-11cf-9af1-0020af6e72f4}</Data>
<Data Name="ProcNum">0x8</Data>
<Data Name="Protocol"> 3</Data>
<Data Name="NetworkAddress">NULL</Data>
<Data Name="Endpoint">epmapper</Data>
<Data Name="Options">NULL</Data>
<Data Name="AuthenticationLevel"> 6</Data>
<Data Name="AuthenticationService"> 20</Data>
<Data Name="ImpersonationLevel"> 3</Data>
</EventData>
<RenderingInfo Culture="en-US">
<Level>Information </Level>
<Opcode>Start </Opcode>
<Task>RpcClientCall</Task>
<Message>Client RPC call started. InterfaceUuid: {e60c73e6-88f9-11cf-9af1-0020af6e72f4} OpNum: 0x8 Protocol: LRPC NetworkAddress NULL Endpoint epmapper Binding Options NULL Authentication Level 7 Authentication Service 8 Impersonation Level 9 </Message>
<Channel>Debug </Channel>
<Provider>Microsoft-Windows-RPC </Provider>
</RenderingInfo>
</Event>
然后是一系列 Debug 事件(具有相同的 ActivityID),比如这个:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-RPC" Guid="{6ad52b32-d609-4be9-ae07-ce8dae937e39}" />
<EventID>4</EventID>
<Version>1</Version>
<Level>5</Level>
<Task>3</Task>
<Opcode>0</Opcode>
<Keywords>0x4000000000000000</Keywords>
<TimeCreated SystemTime="2017-01-02T18:21:54.825028400+0059" />
<Correlation ActivityID="{f9ace53a-28fe-4129-ac24-8d04ea0a79a9}" />
<Execution ProcessID="10688" ThreadID="5384" ProcessorID="7" KernelTime="30" UserTime="15" />
<Channel>Microsoft-Windows-RPC/Debug</Channel>
<Computer />
</System>
<EventData>
<Data Name="Subject">76</Data>
<Data Name="Verb">75</Data>
<Data Name="SubjectPointer">0x24F9A52CAF0</Data>
<Data Name="ObjectPointer">0x180</Data>
<Data Name="DataPointer">0x22000130</Data>
</EventData>
<RenderingInfo Culture="en-US">
<Level>Verbose </Level>
<Task>Debug</Task>
<Message>RPC Log Event.
Subject: ALPC Verb: PKT_OUT SubjectPointer: 0x24F9A52CAF0 ObjectPointer: 0x180 Data: 0x22000130 </Message>
<Channel>Debug </Channel>
<Provider>Microsoft-Windows-RPC </Provider>
</RenderingInfo>
</Event>
稍后我可能会发现RpcServerCall事件,它可能代表服务器的响应:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-RPC" Guid="{6ad52b32-d609-4be9-ae07-ce8dae937e39}" />
<EventID>6</EventID>
<Version>1</Version>
<Level>4</Level>
<Task>2</Task>
<Opcode>1</Opcode>
<Keywords>0x4000000000000000</Keywords>
<TimeCreated SystemTime="2017-01-02T18:21:56.786737300+0059" />
<Correlation ActivityID="{11bb1d8d-336f-44e3-b853-b903f4fd2651}" />
<Execution ProcessID="652" ThreadID="15348" ProcessorID="4" KernelTime="90" UserTime="195" />
<Channel>Microsoft-Windows-RPC/Debug</Channel>
<Computer />
</System>
<EventData>
<Data Name="InterfaceUuid">{e60c73e6-88f9-11cf-9af1-0020af6e72f4}</Data>
<Data Name="ProcNum">0x8</Data>
<Data Name="Protocol"> 3</Data>
<Data Name="NetworkAddress">NULL</Data>
<Data Name="Endpoint">epmapper</Data>
<Data Name="Options">NULL</Data>
<Data Name="AuthenticationLevel"> 6</Data>
<Data Name="AuthenticationService"> 20</Data>
<Data Name="ImpersonationLevel"> 0</Data>
</EventData>
<RenderingInfo Culture="en-US">
<Level>Information </Level>
<Opcode>Start </Opcode>
<Task>RpcServerCall</Task>
<Message>Server RPC call started. InterfaceUuid: {e60c73e6-88f9-11cf-9af1-0020af6e72f4} OpNum: 0x4 Protocol: LRPC Endpoint epmapper Authentication Level 7 Authentication Service 8 </Message>
<Channel>Debug </Channel>
<Provider>Microsoft-Windows-RPC </Provider>
</RenderingInfo>
</Event>
此事件之后再次出现多个 Debug 事件(具有相同的 ActivityID):
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-RPC" Guid="{6ad52b32-d609-4be9-ae07-ce8dae937e39}" />
<EventID>4</EventID>
<Version>1</Version>
<Level>5</Level>
<Task>3</Task>
<Opcode>0</Opcode>
<Keywords>0x4000000000000000</Keywords>
<TimeCreated SystemTime="2017-01-02T18:21:56.786747500+0059" />
<Correlation ActivityID="{11bb1d8d-336f-44e3-b853-b903f4fd2651}" />
<Execution ProcessID="652" ThreadID="15348" ProcessorID="4" KernelTime="90" UserTime="195" />
<Channel>Microsoft-Windows-RPC/Debug</Channel>
<Computer />
</System>
<EventData>
<Data Name="Subject">105</Data>
<Data Name="Verb">43</Data>
<Data Name="SubjectPointer">0x15B5283A110</Data>
<Data Name="ObjectPointer">0x0</Data>
<Data Name="DataPointer">0x1</Data>
</EventData>
<RenderingInfo Culture="en-US">
<Level>Verbose </Level>
<Task>Debug</Task>
<Message>RPC Log Event.
Subject: IF Verb: INC SubjectPointer: 0x15B5283A110 ObjectPointer: 0x0 Data: 0x1 </Message>
<Channel>Debug </Channel>
<Provider>Microsoft-Windows-RPC </Provider>
</RenderingInfo>
</Event>
调用完成后,我可以在客户端和服务器上看到
win:stopStatusActivityIDwin:start<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-RPC" Guid="{6ad52b32-d609-4be9-ae07-ce8dae937e39}" />
<EventID>8</EventID>
<Version>1</Version>
<Level>4</Level>
<Task>2</Task>
<Opcode>2</Opcode>
<Keywords>0x4000000000000000</Keywords>
<TimeCreated SystemTime="2017-01-02T18:21:56.786835000+0059" />
<Correlation ActivityID="{11bb1d8d-336f-44e3-b853-b903f4fd2651}" />
<Execution ProcessID="652" ThreadID="15348" ProcessorID="4" KernelTime="90" UserTime="195" />
<Channel>Microsoft-Windows-RPC/Debug</Channel>
<Computer />
</System>
<EventData>
<Data Name="Status">0x0</Data>
</EventData>
<RenderingInfo Culture="en-US">
<Level>Information </Level>
<Opcode>Stop </Opcode>
<Task>RpcServerCall</Task>
<Message>Server RPC call was completed. Status: 0x0 </Message>
<Channel>Debug </Channel>
<Provider>Microsoft-Windows-RPC </Provider>
</RenderingInfo>
</Event>
问题
最后,我的问题是:我怎样才能100%确定给定的RpcServerCall是对我最初的RpcClientCall的响应?我猜通过
InterfaceUuidProcNumProtocolEndpoint2个回答
4
投票
投票
您可以通过启用 Microsoft-Windows-RPC 并按活动 ID 进行分组来关联事件,该 ID 对于每个 RPC 调用都是唯一的。然后,您只需关联每个活动 ID 的开始/停止事件,您就可以在客户端进程的上下文中获得持续时间,以关联任何 RPC 调用的持续时间。
对于每个活动,可以记录许多调试事件,但只有一个启动/停止元组。这应该可以解决问题。
要关联 RPC 客户端和服务器调用,您首先需要通过查看具有相同活动 GUID 的启动/停止事件来找到相应的 RPC 客户端和服务器调用。对于具有 RpcServer 调用的给定 RpcClient,您可以使用字段 5(端点)按它们进行分组。至少我发现,如果给定端点仅同步服务调用,那么这看起来像是一个可靠的指标。接口也可能有效,但由于可能有多个 COM 服务器同时运行且具有相同的接口 GUID,因此它不是一个可靠的指标。我认为它不会比给定数据更好。为什么你如此热衷于 RPC 服务器部分?通常,您只会查看很长的客户端时间,无论如何,这都足以触发更深入的分析。您是否在寻找 RPC 基础设施内部的问题?
最新问题
- vfmlalq_low_f16 和 vfmlalq_high_f16 行为
- 以用户身份禁用角度动画
- 对函数与参数进行数值积分
- 使用 sqlalchemy 插入多行时 fetchall 出现问题
- 在 Struts 2 中将包含多个值的文本字段插入数据库?
- 密码参数未包含在强参数中
- Polars,python,如何更改制作新列时输入的条件数量
- Python:一次调用 random.uniform (a,b) 会影响第二次调用的结果吗?
- 将 NextJS 应用程序与 Firebase Analytics 连接时,为什么 Firebase 返回“分析:此环境不支持 Firebase Analytics”?
- 如何动态链接GCC对象?
- codeigniter FIND_IN_SET 不适用于 join
- 使用标头时 C 程序无法编译
- 无法使用 Pandas 读取 Databricks 中的文件错误:FileNotFoundError:[Errno 2] 没有这样的文件或目录:'/FileStore/tables/ge_selection.csv'
- 在Python中打开XDR文件
- C 程序运行时无法打开.h5 文件
- Anylogic 和 NVidia Omniverse 渲染
- 为什么样式“display:none”不隐藏像<s:textfield>这样的Struts 2标签?
- 在systemd服务文件中从aws获取秘密
- “./composer.json”与预期的 JSON 架构不匹配
- 即使 app.json web 更改后,React 本机 Web 应用程序也不会更改背景颜色
© www.soinside.com 2019 - 2024. All rights reserved.