Techniques pour tamiser les données

qui permet de
convertir un ou plusieurs fichiers .etl
en un fichier .csv que vous pourrez ouvrir
dans Microsoft Excel ou tout autre
tableur pour pousser plus loin l’analyse.
Windows 2003 et XP incluent un
utilitaire ligne de commande appelé
tracerpt.exe. Tracedmp.exe et tracerpt.
exe sont tous deux des applications
de consommation dans l’architecture
ETW. Bien que tracerpt.exe
fasse partie de Windows 2003 et de XP,
vous pouvez l’utiliser pour traiter des
journaux Win2K. Comme tracerpt.exe
inclut certaines fonctions absentes de
tracedmp.exe, je vous conseille d’utiliser
tracerpt.exe chaque fois qu’il faudra
traiter un journal de trace Win2K.
Cependant, Microsoft n’offre pas tracerpt.
exe comme un téléchargement
séparé. Vous ne pouvez obtenir cet utilitaire
qu’en achetant Windows 2003
ou XP.
A noter que si vous exécutez tracerpt.
exe à  partir d’une station de travail
Windows 2003 ou XP, tout en appliquant
l’utilitaire à  un journal créé sur
un serveur Win2K, tracerpt.exe risque
de ne pas pouvoir identifier les GUID
de transaction enregistrés sur le serveur
Win2K. Tracerpt.exe regarde dans
le namespace WMI (Windows Management
Instrumentation) sur la machine
sur laquelle il s’exécute, pour déterminer
les événements auxquels un
GUID de transaction particulier correspond.
Si la machine sur laquelle vous
êtes en train de générer le rapport n’a
pas les mêmes providers de trace
d’événements que celle sur laquelle
vous exécutez la trace, tracerpt.exe ne
pourra pas obtenir d’informations sur
les événements requis pour créer les fichiers
de rapports. Ainsi, si vous appliquez
tracerpt.exe à  un fichier log créé
sur serveur Win2K qui journalise l’information
AD, je vous conseille d’exécuter
tracerpt.exe à  partir d’un DC (domain
controller) Windows 2003 qui a
aussi les providers AD enregistrés dans
WMI.
Tracedmp.exe et tracerpt.exe
convertissent tous deux le fichier .etl
binaire en fichier .csv. Ils fournissent
aussi un fichier texte qui contient une
information résumée sur la session de
journalisation (son heure et sa durée
d’exécution, par exemple) et sur les
événements capturés (comme le nom,
le type et le nombre d’occurrences de
chaque événement, ainsi que le GUID
du provider qui l’a créé). Il y a tout de
même une différence : tracedmp.exe
crée le rapport résumé automatiquement,
tandis que tracerpt.exe donne la
possibilité de le créer manuellement.
Tracerpt.exe donne aussi la possibilité
de créer un rapport de charge de travail.
Un tel rapport récapitule les processus
et les transactions tracés pendant
la session de journalisation. Par
exemple, si vous supervisez l’activité
des processus, le rapport de charge de
travail contiendra des données résumées
sur tous les processus qui s’exécutaient,
le temps de CPU de chacun
d’eux, et le nombre de threads que
chacun a utilisés.
Pour utiliser tracerpt.exe pour générer
un fichier .csv, un rapport récapitulatif
et un rapport de charge de travail
à  partir d’un journal binaire, vous
pouvez utiliser la commande

tracerpt myfirstlog.etl
mysecondlog.etl
-o -summary -report

où myfirstlog.etl et mysecondlog.
etl sont les noms des fichiers .etl que
vous voulez convertir. Pour les trois paramètres
-o, -summary et -report, vous
pouvez indiquer des noms de fichiers
après chaque paramètre. Par défaut, si
vous ne fournissez pas de nom de fichier,
tracerpt.exe crée le fichier
dumpfile.csv pour le fichier .csv détaillé
(le paramètre -o), le fichier summary.
txt pour le rapport récapitulatif
(le paramètre -summary) et le fichier
workload.txt pour le rapport de charge
de travail (le paramètre -report). Si
vous fournissez plusieurs fichiers .etl
comme entrée, comme je l’ai fait dans
l’exemple précédent, tracerpt.exe
concatène les données dans le fichier
.csv et dans les rapports récapitulatifs
et de charge de travail. Il est intéressant
de pouvoir combiner des rapports
si l’on veut faire la corrélation entre
des données provenant de multiples
sessions de trace prélevées dans les
mêmes tranches horaires. La version
de tracerpt.exe qui accompagne
Windows 2003 comporte la possibilité
de modifier le format de sortie des rapports
récapitulatifs et de charge de travail.
On peut générer trois genres de fichiers : XML, texte ou HTML.
Le fichier .csv est la principale sortie
d’une session de journalisation.
Pour chaque événement intervenu
pendant une session, il contient :
l’heure de survenance, la quantité de
kernel et de temps de CPU utilisateur
consommés. Il contient aussi les éventuelles
données associées à  la transaction.
Par exemple, une trace réseau
kernel Windows inclura les données
associées suivantes : l’événement UDP
Send ou Receive ou TCP (qui montre
le port et l’adresse IP source et de destination)
et la taille des octets échangés.
Vous pouvez certes importer les fichiers
.csv dans Excel pour faciliter leur
lecture, mais il est vrai que les sessions
de trace peuvent générer une grande
quantité de données. Il faut donc procéder
de manière plus ciblée pour en
tirer des renseignements intéressants.
Voyons comment utiliser ETW de manière
concrète.