Logging WMI Activity

The WMI log files are no longer supported. Starting with WindowsВ Vista, WMI uses Event Tracing for Windows (ETW) and events that are available through the Event Viewer UI or the Wevtutil command line tool. For more information, see the ETW provider and the Wevutil command-line documentation.

The following sections are discussed in this topic:

WMI Log Files Before Windows Vista

The log files created by WMI and various providers record: events, trace or diagnostic data, errors, and various activities. Only administrators have read access to the WMI log folder found at %windir%\system32\wbem\logs.

Only WMI core components or WMI providers write to log files. You can only read or view the data in these logs for diagnostic purposes. You can create and store your own log files in the WMI log directory.

Logging Activities for WMI Core Components Before Windows Vista

These files do not contain a consistent format that is suitable for reading programmatically. For more information about specific logs, see WMI Log Files.

Logging activities for WMI core components occurs when the following registry keys are set:

Changes to the logging level registry value take effect immediately. No restart of the WMI service is necessary.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\Logging = 2

The following list lists the logging levels that can be defined in the registry.

Logging level	Description
0	No Logging
1	Log only errors
2	Verbose Logging (default)

Log file location

For changes to log file location to take effect, restart the WMI service.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\Logging Directory = %windir%\system32\wbem\logs

Maximum log file size, in bytes

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\Log File Max Size = 65536

You can change these registry key values through the Registry Editor or through the WMI snap-in for the Microsoft Management Console.

To set the logging level for WMI before WindowsВ Vista

1. Click Start, and then click Run.
2. Type wmimgmt.msc
3. On the Action menu, click Properties.
4. On the Logging tab, set the logging level to Disabled, Enabled, or Verbose.
5. In Location:, type the path to the log file folder and in Maximum size (bytes):, set the maximum size, in bytes, of the log file.

For more information about setting the log file properties, see the online Help for the WMI Control application.

Logging Activities for WMI Provider Components Before Windows Vista

When logging for WMI core components is enabled, logging is also enabled for any provider with logging capabilities.

The following list lists the required values.

File

Full path and file name of the log file. The default value is %windir%\system32\wbem\logs. The Type named value must be set to = File for this named value to be used.

Level

A 32-bit logical mask that defines the type of debugging output generated by the provider. This value is provider-dependent. The default value is 0 (zero).

MaxFileSize

Maximum file size, in bytes, of the log file. This integer value must be in the range 1024 to 2^32-1. When the file size exceeds this value, the file is renamed to

filename and a new, empty log file is created. The disk space required for the log file is twice the value of MaxFileSize. The default value is 65,535.

Type

Can be set to = File or = Debugger. If set to = File, the trace information is written to the log file specified in the File named value. The default value is = File.

For example, to log query and get instance calls from the View Provider, use the following registry key values. The log will be located in the log folder and will be the default file size.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\PROVIDERS\Logging\ViewProvider\File = C:\Windows\system32\WBEM\Logs\ViewProvider.log

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\PROVIDERS\Logging\ViewProvider\Level = 2

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\PROVIDERS\Logging\ViewProvider\MaxFileSize = 65535

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\PROVIDERS\Logging\ViewProvider\Type = File

For your own providers with logging capabilities, you need to write the necessary registry keys and values to enable logging.

WMI-Activity События 5858 часто регистрируются с помощью resultCode 0x80041032

В этой статье содержится решение для решения проблемы WMI-Activity события 5858, зарегистрированного с помощью ResultCode = 0x80041032 в Windows Server 2012 R2.

Оригинальная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 3124914

Симптомы

При использовании Windows Server 2012 R2 с приложениями, которые выдают запросы WMI, администратор может наблюдать следующее событие в IWbemServices:ExecQuery viewer событий:

Имя журнала: Microsoft-Windows-WMI-Activity/Operational
Источник: WMI-Activity
ID события: 5858
Уровень: ошибка
Id = ; ClientMachine =; Пользователь =; ClientProcessId =

; Компонент = Неизвестный; Операция = Запуск IWbemServices::ExecQuery — :; ResultCode = 0x80041032; PossibleCause = Unknown
где 0x80041032 указывает WBEM_E_CALL_CANCELLED.

Это событие может происходить с различными значениями ResultCode. Проблема, описанная в этой статье, применяется только тогда, когда ResultCode = 0x80041032 (WBEM_E_CALL_CANCELLED) .

Причина

WMI-Activity Ошибка 5858 с ResultCode = 0x80041032 (WBEM_E_CALL_CANCELLED) указывает, что вызывающий WMI успешно выдал, но выпустил объект до получения полного набора результатов с помощью IWbemServices:ExecQuery IWbemContext IEnumWbemClassObject::Next метода. Если служба WMI по-прежнему удерживает данные для клиента, когда клиент прекращает ссылку (выпустив объект), это событие IWbemContext будет в журнале.

Эта ошибка может произойти, если приложение WMI вызывает значение времени (lTimeout), которое недостаточно для получения запрашиваемого объекта и не проверяет код возврата для повторного выпуска IEnumWbemClassObject::Next WBEM_S_TIMEDOUT (0x40004) запроса.

Решение

Клиентская заявка WMI должна быть изменена для выпуска вызовов для получения полного набора результатов перед выпуском IEnumWbemClassObject::Next объекта IWbemContext. Если объекты не получены, убедитесь, что значение времени отбытия (lTimeout) превышает 0 и не WBEM_S_TIMEDOUT (0x40004) возвращается.

Дополнительные сведения

Дополнительные сведения см. в указанных ниже статьях.

Пример кода, включенный в конце этой страницы, показывает, что он называется со значением времени окончания времени IEnumWbemClassObject::Next (lTimeout) 0 и не проверяет ошибку WBEM_S_TIMEDOUT.

Процесс WMI Provider Host грузит систему – что делать

При старте операционной системы Windows запускается ряд служб и процессов. Каждый из них отвечает за функционирование определенных компонентов, они никак не мешают пользователю. При возникновении сбоев некоторые процессы могут работать нестабильно и вследствие этого производить загрузку центрального процессора (ЦПУ). Системная утилита wmiprvse.exe довольно часто провоцирует подобную ситуацию.

Что это за файл

WmiPrvSE.exe – это исполняемый файл утилиты поставщика инструментария управления WMI Provider Host для Windows. Он является одним из компонентов управления веб-сервером Microsoft (WBEM) и Microsoft Operations Manager (MIM). С помощью утилиты, программы и скрипты могут получить данные о внутреннем состоянии операционной системы. В Windows также внедрены WMI-провайдеры, которые позволяют выполнить соединение с интернетом, получить настройки DNS, а также отслеживать функции и сообщать о критических ошибках.

Исполняемый файл лежит в директории «\system32\wbem\», запускается из-под svchost.exe, имеет права «NETWORK SERVICE».

Подведем итог — WmiPrvSE.exe является безопасным системным процессом, который необходим для нормального функционирования операционной системы. Приостановка его работы или отключение нежелательно, но критических сбоев не будет.

Как видно на скриншоте, стандартно системной активности процесс WmiPrvSE.exe практически не вызывает.

Если файл не является вирусом, то грузить процессор он может в случае обращения к нему какого-либо софта, который использует функции WMI. Например, подобная ситуация возникает, когда загруженность ЦПУ обусловлена работой «NB Probe Application» — это утилита Asus для получение температурных данных ядер процессора, оборотов кулера и состоянии других аппаратных компонентов.

Определяем приложение, которое запускает процесс

WMI Provider Host может грузить процессор в Windows 7/8/10 в следующих случаях:

• подключение новых периферийных устройств;
• запуск обновления системы и драйверов;
• запуск приложений, которые получают информацию о системе, а также скриптов.

Для наглядного примера мы подключили к ПК USB Mouse (мышку) и можем наблюдать изменения в активности процесса:

Системная активность в этих случаях длится недолго, через некоторое время процесс пропадает из диспетчера задач. Если процесс по-прежнему висит и грузит ЦПУ необходимо определить, какое приложение производит его запуск:

• открываем окно утилиты «Выполнить», сочетанием клавиш «Win+R»;
• в пустую строку вводим команду «msconfig»;
• откроется «Конфигурация системы», здесь переходим во вкладку «Службы»;
• в нижней части окна отмечаем чекбокс «Не отображать службы Microsoft»;
• кликаем «Отключить все» для деактивация сторонних служб;
• переходим во вкладку «Автозагрузка» (для ОС Windows 7 и 8) и деактивируем все элементы. Для пользователей Windows 10 настройка параметров автозагрузки производится в диспетчере задач, запускаем его сочетанием клавиш «Ctrl+Alt+Del». Во вкладке «Автозагрузка» выделяем все компоненты и кликаем «Отключить»;
• в завершении перезагружаем ПК.

Если после перезагрузки проблем не наблюдается, то причина скрывалась в службах и программах, которые были отключены. Для окончательного решения понадобится определить, какой компонент приводит к нестабильной работе системы. Необходимо поочередно включать каждый элемент, перезагружать ПК и проверять работоспособность. При обнаружении источника сбоя, требуется выполнить отключение (если это служба) или деинсталляцию (в случае с программой), на усмотрение пользователя.

Есть более подробный способ узнать, что конкретно приводит к нестабильной работе. Здесь мы будем использовать «Просмотр событий Windows»:

• вызываем утилиту «Выполнить»;
• вписываем «eventvwr.msc» и жмем «Enter». Запуск может занять некоторое время – это связано с добавлением оснастки в консоль;
• в окне «Просмотр событий» щелкаем по вкладке «Вид» и в контекстном меню выбираем «Отобразить аналитический и отладочный журнал»;
• в панели навигации разворачиваем дерево «Журналы приложений и служб – Microsoft – Windows – WMI-Activity»;
• раскрываем пункт и выбираем «Trace», в блоке «Действие» открываем «Свойства»;
• во вкладке «Общие» отмечаем чекбокс «Включить ведение журнала», кликаем «Применить»;
• после обновления логов, на главной странице появится информация об активных процессах;
• во вкладке «Общие» будет отражена информация о параметре «ClientProcessId». Это является идентификатором того процесса, который обращается к «WmiPrvSE.exe»;
• открываем «Диспетчер задач» и вкладку «Подробности», где ищем «ИД процесса», указанного в «ClientProcessId». После обнаружения источника действуем по своему усмотрению, деинсталлируем софт или выполняем отключение.

Откат обновлений системы

Сбои при установке обновлений могут стать причиной нестабильной работы wmiprvse.exe. Для решения проблемы потребуется выполнить откат обновлений в хронологическом порядке, пока не будет найден тот элемент, который вызывает нарушения в работе ОС.

Выполняем откат обновлений для Windows (способ актуален для версий ОС Windows 7 и выше):

• открываем «Панель управления» и переходим к пункту «Программы и компоненты»;
• в левой части окна выбираем «Просмотр установленных обновлений»;
• откроется список установленных компонентов, в столбце «Установлено» можно узнать дату загрузки;
• выделяем первый элемент щелкая по нему правой кнопкой мыши (ПКМ) и в контекстном меню, выбираем «Удалить». Перезагружаем ПК и проверяем работоспособность, при сохранении проблемы повторяем операцию.

Проверяем компьютер на вирусы

Если никакие способы не привели к снижению нагрузки процесса WMI Provider, то в этом случае можно подозревать вирусную активность. Одноименный вирус «wmiprvse.exe» вносит изменения в настройки DNS, а также изменяет файл Hosts. В этом случае пользователь не только сталкивается с нестабильным функционированием ОС, но и с проблемами доступа к интернету.

Необходимо убедиться, что перед нами действительно вредоносная программа:

• переходим в «Диспетчер задач» запустив его сочетанием клавиш «Ctrl+Shift+Esc»;
• выбираем процесс «WmiPrvSE» и щелкаем по нему ПКМ, в контекстном меню кликаем «Открыть расположение файлов»;
• откроется проводник, где будет показана директория в которой расположен файл. По умолчанию путь к директории выглядит так: «C (буква системного диска может отличаться): /Windows/System32/wbem». Если путь отличается — можно сделать вывод, что это вирус. Для дополнительной диагностики, проверим свойства файла;
• щелкаем ПКМ по «WmiPrvSE» и в контекстном меню выбираем «Свойства». Во вкладке «Подробно» обращаем внимание на пункт «Авторские права», должно быть указано «Корпорация Майкрософт», если написано иное, переда нами вредоносное ПО замаскированное под системный компонент.

Очистку системы от вирусов производим с помощью антивирусного программного обеспечения установленного на ПК. Для эффективного обнаружения потребуется запустить глубокую проверку системы.

Если антивируса нет, можно скачать утилиту Dr.Web Cureit или Kaspersky Virus Removal Tool.

Отключаем службу

При отключении службы будет остановлен процесс «WmiPrvSE.exe», его деактивация может отразиться на функционировании системы:

• открываем утилиту «Выполнить» и вводим команду «services.msc»;
• в главном окне находим службу «Инструментарий управления Windows»;
• щелкаем по ней и в пункте «Состояние» выбираем «Остановить»;