Windows Server : Windows Server

El Registro: Restaurar sistema

juansa — Wed, 16 Dec 2009 13:38:16 GMT

Restaurar sistema nos devuelve el equipo a un estado previo sin perder información personal. Esta opción no existe en W2003, pero sí en XP y posteriores. Lo que hace es comprobar los cambios en el equipo y muchas de sus aplicaciones y crear puntos de restauración. Estos snapshots o instantáneas son en realidad las instrucciones para deshacer cambios recientes. Podemos recuperar estas instantáneas en caso de que el sistema no funcione adecuadamente. XP por ejemplo crea puntos de restauración diarios y cuando existen eventos significativos, como instalar nuevas aplicaciones, parches, controladores… Nosotros podemos modificar la programación o incluso usar scripts.

Restaurar sistema crea diversos tipos de puntos de restauración, a saber:

Comprobación del sistema.

Hay un punto de restauración inicial cuando XP se inicia por primera vez, si lo restauramos a éste punto tendremos el sistema tal cual se instaló y arrancó la primera vez.

Se crean diversos puntos de sistema regularmente, cambie o no el sistema. Normalmente cada 24 horas, si mantenemos apagado el equipo por más de 24 horas se creará en cuanto iniciemos el sistema.

Instalación.

Cuando instalamos programas que usan instaladores correctos se crea un punto de restauración.

Actualizaciones automáticas.

Tanto si es por Actualizaciones automáticas como si usamos Windows Update, se crean puntos de restauración.

Manuales.

Creamos los puntos nosotros mismos mediante Restaurar Sistema o nos montamos nuestro propio Script para que los cree según nuestras preferencias. Por ejemplo: no es mala idea realizar un punto de restauración manual antes de empezar a toquetear el registro y cambiar valores.

Operaciones de restauración.

Se crean puntos cuando restauramos puntos, es decir, puntos que nos permiten deshacer la propia restauración.

Controladores no firmados.

Se crean en cuanto instalamos un controlador de dispositivo no firmado. En caso de inestabilidad por dicha instalación, a restaurar.

Copias de seguridad .

En cuanto realizamos una copia de seguridad usando la utilidad del sistema para recuperar una copia, se crea un punto por si queremos deshacer esa recuperación.

Restaurar Sistema utiliza una cantidad de espacio en disco que hemos de configurar, por supuesto a mayor cantidad de espacio mayor cantidad de puntos pueden guardarse.

Mirar dentro…

Muchos de los archivos y carpetas de Restaurar Sistema están muy ocultos, tanto que no se ven aunque marquemos ver archivos ocultos y de sistema, hemos de añadir la selección de NO ocultar archivos protegidos del sistema.

Los archivos se encuentran en la raíz_del_sistema\System32\Restore, en XP. Además del Rstrui.exe vemos el filelist.xml que es la lista de archivos y configuraciones que Restaurar Sistema controla.

Se excluyen archivos de configuración Legacy –win.ini, system.ini, autoexec.bat y config.sys-, algunas carpetas también en su mayoría nada importantes para el sistema. Se protegen desde los exe y dll hasta VBS y VxD. Si un archivo coincide con las extensiones incluidas y está en una carpeta excluida en filelist.xml, Restaurar Sistema lo sigue, como lo hace con los archivos de sección por-usuario de la rama HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList.

Los archivos de restauración están en cada carpeta de cada volumen: System Volume Information, por supuesto oculta y con ACL. No es aconsejable acceder, ya que hay que cambiar los valores de ACL. Dentro se encuentra una carpeta –restoreEQUIPO (EQUIPO=GUID del equipo):

Que a su vez contiene cada punto de restauración, con la nomenclatura de RPnum donde num es un número incremental que comienza por 1. Cada RPnum contiene las copias de seguridad y archivos eliminados. Restaurar Sistema cambia los nombres de archivos.

Así pues cada RPnum contiene copias de seguridad de los archivos de sección del Registro. Si obtenemos acceso a System Volume Information podríamos cargar estos archivos de sección con Regedit y examinarlos, o recuperar valores si se quiere. En realidad la manera más adecuada para recuperar configuraciones de estos archivos sería usar Restaurar Sistema.

Pero ya que estamos en ello; los archivos de sección que encontraremos dentro de las instantáneas (\snapshot) de un RPnum se ven perfectamente en la imagen:

Restaurar sistema dispone de opciones de administración. Tales como cambiar el tamaño de espacio en disco que usará, incluso deshabilitarlo, o disponer de un par de directivas, como Desactivar restaurar sistema, que deshabilita Restaurar sistema totalmente, y cuando no queremos que los usuarios puedan cambiar su configuración tenemos Desactivar configuración, aunque los usuarios pueden crear sus propios puntos de restauración. Estas directivas son aplicables al equipo.

Personalizar Restaurar Sistema

La llave es HKLM\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore, aquí hallaremos la configuración de Restaurar sistema, que en principio toda la lista de valores son del tipo REG_DWORD en XP, pero no así en Vista o W7.

Valores que pueden modificarse sin riesgo de dañar el equipo

CompressionBurst
Tiempo de compresión en segundos antes de entrar en inactividad: tiempo empleado en comprimir los datos antes de que el equipo entre en inactividad. Un servicio puede comprimir datos durante el tiempo especificado y después detenerse. Así, en el siguiente intervalo, podrá repetirse el proceso.
DiskPercent
Valor de referencia al porcentaje de espacio de disco que Restaurar sistema usa para almacén de datos. El valor predeterminado es del 12%. Siempre se calcula como el "máximo de (12%, DSMax)", sin importar el tamaño del disco. El tamaño máximo (máximo de) es lo que se especifica en DSMax. Para tamaños de disco inferior a 4GB, el 12% es menos de 400MB, así que el "máximo de (12%, DSMax)" es 400MB. Si es mayor de 4GB, el 12% es más de 400MB, por lo que el "máximo de (12%, DSMax)" es el 12%. Este tamaño no es reservado y sólo se usa si se pide.

Windows Vista: Recibe un valor desde el servicio Volume Shadow Copy Service (VSS). Es la cantidad máxima de espacio en disco de cada unidad ue puede usar Restaurar Sistema. El valor predeterminado es el 15% del total de la unidad o el 30% del espacio libre el que sea menor.

DSMax
Tamaño máximo de almacén de Restaurar sistema. De forma predeterminada son 400 MB. Y como se veía anteriormente se calcula como el "máximo de (12%, DSMax)", sin importar el tamaño del disco. Discos menores a 4GB será 400MB y en los mayores de 4GB será realmente el 12%. No es tamaño reservado y se usa si se pide.
DSMin
Aquí se refiere al mínimo de espacio libre en disco que Restaurar sistema necesita para poder funcionar durante la instalación, y para que se reactive y reanude la creación de puntos después de deshabilitarse por falta de espacio en el disco.
RestoreStatus
Indicación sobre la última restauración: falló (0), correcta (1) o se interrumpió (2).
RPGlobalInterval
Valor, en segundos, de espera antes de crear puntos automáticos del equipo durante el tiempo transcurrido. Valor predeterminado, 24 horas.

Windows Vista: Recibe un valor desde programador de tareas. 0 si el programador está desactivado.

RPLifeInterval
Período de vida(TTL), en segundos, de los puntos de restauración. Llegado el momento si un punto de restauración sigue en el sistema, se elimina. Valor predeterminado (7776000) = 90 días.
RPSessionInterval
Valor, en segundos, de espera antes de crear puntos de comprobación automáticos del equipo (el tiempo que el equipo ha estado activo). El valor predeterminado es cero (0), lo que significa que esta característica está desactivada.

Windows Vista: Recibe un 0 si Restaurar Sistema está deshabilitado.

ThawInterval
Valor, en segundos, de tiempo que Restaurar sistema espera antes de activarse a sí mismo desde un estado deshabilitado, si se cumplen las condiciones para ello. Si abrimos la ventana de Restaurar sistema, se activa inmediatamente.

Valores que no deben modificarse

CreateFirstRunRp
Valor que indica al equipo que cree el primer punto de restauración, como cuando Restaurar sistema se desactiva y se vuelve a activar seguidamente, o lo deshabilitamos e inmediatamente lo volvemos a habilitar. No debe debe modificarse bajo ninguna circunstancia, cualquier modificación puede dejar al equipo irrecuperable.
DisableSR
Activa o desactiva Restaurar sistema. Si se desactiva en el Registro, los puntos de restauración existentes no se quitan. No debe modificarse, debe activarse o desactivarse sólo desde la interfaz de usuario.
RestoreDiskSpaceError
Indicación al equipo para que muestre un mensaje de error si Restaurar sistema no puede ejecutarse por problemas de espacio en disco. Es informativo.
RestoreSafeModeStatus
Indicación de si la última restauración fue en Modo a prueba de errores.
TimerInterval
Tiempo de activación, en segundos. Momento u hora en la que Restaurar sistema se "activa" y comprueba su espacio en disco. Predeterminado 120, no debe modificarse ya que puede afectar al rendimiento del equipo.

Vista-W7

Normalmente Windows utiliza el 15% del espacio disponible en la unidad para guardar los puntos de restauración. En XP esta opción se hace desde la pestaña Restaurar Sistema del cuadro de diálogo de las propiedades del Sistema,

Pero esto ya no está en Vista-W7, aunque podemos hacer lo siguiente:

Vamos a la llave del Registro HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SystemRestore\Cfg

Doble clic en DiskPercent, el valor predeterminado es F (15 en decimal), para cambiar a 10% escribiríamos A.

Si queremos cambiar la frecuencia de los puntos de restauración automáticos:

Vamos a la llave del Registro HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SystemRestore

Cambiamos el valor RPGlobalInterval que de forma predeterminada es 86400 segundos (24 horas) a por ejemplo: 43200 (a8c0) que serían 12 horas.

Cuando se crean nuevos puntos se van eliminando los viejos si no hay espacio en disco suficiente, al estilo FIFO (Primero en entrar primero en salir).

De forma pretederminada, Vista-W7 elimina puntos de restauración a los 136 años, je! en XP eran 90 días.

Pero bueno, lo podemos cambiar en valor RPLifeInterval, por ejemplo al valor que tenía XP, 7776000 (76A700).

Para ver el espacio que ocupan los puntos de restauración, más abajo indico los comandos de vssadmin necesarios.

Utilidad para crear puntos de restauración

Para cambiar la frecuencia de los puntos automáticos sin tocar el registro:

vssadmin

Un punto de restauración es ahora un tipo de Shadowcopy. Los puntos de restauración se crean con File Backup, Complete PC backup, la tarea diaria de system restore y en las instalaciones de aplicaciones y controladores.

Las shadowcopy que crea Complete PC no son puntos de restauración, aunque ambos tipos de copia existan en el mismo lugar de almacenamiento de cada volumen.

El lugar de almacenamiento de las shadowcopy es por tanto el area destinada en cada volumen para el almacenamiento de cada shadow copy.

El comando vssadmin list shadowstorage (con privilegios) obtiene como salida:

con vssadmin resize shadowstorage podemos cambiar el tamaño del espacio en el volumen deseado, y, con vssadmin list shadows obtendremos una salida resumen, como:

------------------------------

Microsoft Windows [Versión 6.1.7600]
Copyright (c) 2009 Microsoft Corporation. Reservados todos los derechos.

C:\Windows\system32>vssadmin list shadows
vssadmin 1.1 - Herramienta administrativa de línea de comandos del Servicio de instantáneas de volumen. (C) Copyright 2001-2005 Microsoft Corp.

Contenido de id. de conjunto de instantáneas: {357f2227-c25f-49b5-8133-9f9fde3e4666}
   Contenía 1 instantáneas en el momento de su creación: 09/12/2009 09:02:24
      Id. de instantáneas: {18fbf63d-a4b8-43c6-b52e-4f2c8e4856e4}
         Volumen original: (C:)\\?\Volume{7113d9e8-3624-11de-b05a-806e6f6e6963}\

         Volumen de instantáneas: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1
         Equipo de origen: Juansa-PC
         Equipo de servicio: Juansa-PC
         Proveedor: 'Microsoft Software Shadow Copy provider 1.0'
         Tipo: ClientAccessibleWriters
         Atributos: Persistente, Accesible para el cliente, Sin liberación automática, Diferencial, Recuperado automáticamente

Contenido de id. de conjunto de instantáneas: {46713632-9da9-4348-9475-0dea7c78a04f}
   Contenía 1 instantáneas en el momento de su creación: 09/12/2009 09:16:04
      Id. de instantáneas: {13a94392-3d04-4ecc-b8e7-cb1cb5390924}
         Volumen original: (C:)\\?\Volume{7113d9e8-3624-11de-b05a-806e6f6e6963}\

         Volumen de instantáneas: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2
         Equipo de origen: Juansa-PC
         Equipo de servicio: Juansa-PC
         Proveedor: 'Microsoft Software Shadow Copy provider 1.0'
         Tipo: ClientAccessibleWriters
         Atributos: Persistente, Accesible para el cliente, Sin liberación automática, Diferencial, Recuperado automáticamente

Contenido de id. de conjunto de instantáneas: {ccd27605-a70e-4dba-9cb1-33b818eb8110}
   Contenía 1 instantáneas en el momento de su creación: 11/12/2009 07:48:21
      Id. de instantáneas: {89bf1497-9510-4b81-9e33-bdbe0cd45378}
         Volumen original: (C:)\\?\Volume{7113d9e8-3624-11de-b05a-806e6f6e6963}\

         Volumen de instantáneas: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3
         Equipo de origen: Juansa-PC
         Equipo de servicio: Juansa-PC
         Proveedor: 'Microsoft Software Shadow Copy provider 1.0'
         Tipo: ClientAccessibleWriters
         Atributos: Persistente, Accesible para el cliente, Sin liberación automática, Diferencial, Recuperado automáticamente

Contenido de id. de conjunto de instantáneas: {e8c1e12b-063d-46ef-839c-bac5d5f39fe3}
   Contenía 1 instantáneas en el momento de su creación: 15/12/2009 08:06:04
      Id. de instantáneas: {9f0aae64-ffa8-4f52-9c16-0ddb228a825e}
         Volumen original: (C:)\\?\Volume{7113d9e8-3624-11de-b05a-806e6f6e6963}\

         Volumen de instantáneas: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4
         Equipo de origen: Juansa-PC
         Equipo de servicio: Juansa-PC
         Proveedor: 'Microsoft Software Shadow Copy provider 1.0'
         Tipo: ClientAccessibleWriters
         Atributos: Persistente, Accesible para el cliente, Sin liberación automática, Diferencial, Recuperado automáticamente

Contenido de id. de conjunto de instantáneas: {fb976c3b-5c64-44d3-be68-2d7a9c3c8bf0}
   Contenía 1 instantáneas en el momento de su creación: 15/12/2009 09:43:18
      Id. de instantáneas: {774842c6-7163-4db8-b2ad-9396e72fbc07}
         Volumen original: (C:)\\?\Volume{7113d9e8-3624-11de-b05a-806e6f6e6963}\

         Volumen de instantáneas: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy5
         Equipo de origen: Juansa-PC
         Equipo de servicio: Juansa-PC
         Proveedor: 'Microsoft Software Shadow Copy provider 1.0'
         Tipo: ClientAccessibleWriters
         Atributos: Persistente, Accesible para el cliente, Sin liberación automática, Diferencial, Recuperado automáticamente

C:\Windows\system32>

-----------------------

El Registro: Copias de seguridad

juansa — Mon, 14 Dec 2009 12:44:27 GMT

Ya que mencionaba el consejo de hacer copia del registro antes de manipularlo…

seguridad ante todo

Es fácil olvidarse de hacer una copia de seguridad antes de cualquier cambio, por simple que sea. Pero, ¿Cómo sabemos que ese pequeño cambio no causará un error grave? No lo sabemos, así qué hay que hacer una copia de seguridad ‘siempre’ antes de cualquier cambio.

Para realizar las copias de seguridad distinguiremos varios aspectos:

- Copia de valores, que podremos restaurar rápidamente en el registro.

- Exportar la parte del registro que nos interese guardar a un archivo REG.

- Exportar las ramas hacia archivos de sección (hive files).

Cualquiera de los tres nos servirá para recuperar el registro en la mayoría de los casos.

copiar valores

Una manera fácil de copia de seguridad de los valores antes de cambiarlos:

Renómbralos. Es decir, cambia su nombre original, añadiéndoles algo que te indique que es una copia, incluso añade la fecha si quieres hacer un seguimiento de cambios. Por ejemplo:

Tenemos una copia del valor deseado en el propio registro, que podemos recuperar rápidamente con eliminar el nuevo y cambiarle el nombre al marcado como COPIA.

Exportar a REG

Manera de tener una copia para restaurarla desde un archivo.

Seleccionamos la rama a exportar.
Menú Archivo y Exportar
Elegiremos la opción Rama seleccionada
Le daremos un nombre al archivo REG
Ya tenemos un archivo con datos copiados del registro y listo para integrarlo de nuevo con un doble clic.

¿Que pasa al intentar integrarlo de nuevo?

Si el valor no existe en el REG ni en el Registro: NADA

Si el valor no existe en el REG pero sí en el Registro: El valor del registro no cambia ni se elimina.

Si el valor existe en el REG pero no en el Registro: El valor se añade al registro

Si el valor existe tanto en el REG como en el Registro: El valor del registro se modifica con el valor del archivo REG.

Exportar a archivos de sección

Dicen que es la mejor manera de tener copias de seguridad del Registro. Cuando importamos un archivo de sección con una llave, Regedit reemplaza la llave y todas sus sub-llaves con los valores del archivo. Es decir, se eliminará cualquier valor añadido desde la copia del archivo de sección.

Exportar a un archivo de sección es similar a hacerlo a un archivo REG, tan sólo hemos de cambiar el tipo de archivo en el cuadro de diálogo de exportar en lugar de REG y darles la extensión que consideremos más oportuna.

Para importar uno de estos archivos, haremos lo mismo después de escoger la acción Importar del menú Archivo.

No confundamos importar/exportar con cargar/descargar. Al importar realizamos cambios en el registro, mientras que al cargar creamos una nueva rama entera que Windows no usa, y sólo nos servirá para examinarla. El descargar sólo descargará archivos que hayamos cargado manualmente.

Considerando que la importación de un archivo de sección es una buena manera de restauración de una rama entera, cargar el archivo es un buen método de comprobación de valores originales.

Cargamos un archivo en el registro, el que contiene nuestros valores, Regedit nos solicita un nombre de llave, le damos uno que nos identifique la sección; ahora disponemos de una visión de los valores que contienen el archivo y que podemos comparar con los valores de la misma rama que hay actualmente en el registro, pudiendo copiar los actuales y pegar los que tenemos guardados con el fin de configurar lo deseado.

RECUERDA DESCARGAR EL ARCHIVO ANTES DE CERRAR EL REGISTRO!!

Finalmente, una utilidad vía línea de comandos es REG.EXE. Nos ofrece muchas de las características de Regedit y algunas otras más.

Consejo y aviso

juansa — Fri, 11 Dec 2009 11:38:09 GMT

Como comenta Iván, manipular el registro no está exento de su peligrosidad, así que haciendo caso de su consejo OS RECUERDO:

HACER COPIA DE SEGURIDAD DEL REGISTRO ANTES DE CUALQUIER MANIPULACIÓN DEL MISMO. UN MAL USO PODRÍA DEJAR AL SISTEMA DAÑADO Y SIN RESPONDER!!!

El registro: Exportación

juansa — Fri, 11 Dec 2009 10:51:20 GMT

Exportar parte o todo el registro es algo que los que nos dedicamos a esto deberíamos hacer con frecuencia. Con Exportar conseguimos guardar en un archivo partes del registro, los suelen denominar archivos REG, aunque los archivos de secciones (hive files) son más útiles. Es una buena manera de hacer copias de seguridad de valores de configuración que queramos restaurar con facilidad con posterioridad, si lo necesitamos. Es una forma de compartir configuraciones también.

Los archivos REG nos servirán con propósitos prácticos además, por ejemplo como implantación.

Regedit exporta los valores de cuatro maneras: registro, registro w9x/NT, archivos de sección y archivos de texto. Las diferencias entre ellos son significativas. Para exportar una rama del registro:

Seleccionamos la llave superior de la rama que queremos exportar
Menú archivo, pulsamos en Exportar y accedemos al diálogo de exportar archivo de registro.
Escribimos un nombre para el archivo que vamos a crear.
Seleccionamos una de las opciones, dependiendo del rango a exportar:
1. Si queremos todo el registro: opción TODO
2. Sólo la rama seleccionada: Opción RAMA.
Elegimos el tipo de archivo para la exportación.
Finalmente pulsamos en guardar.

Importar un archivo al registro es como abrir un archivo. Seleccionamos importar y buscamos el archivo o simplemente hacemos doble clic sobre el que queremos integrar en el Registro.

Archivos de registro

Los archivos de registro son similares a los archivos INI, cada sección representa una llave, y cada elemento dentro de una sección un valor.

Quizás lo más importante de estos REG de versión 5 es que son Unicode y algunos programas no los pueden manejar correctamente. Debido a ser Unicode, cada carácter en valores REG_EXPAND_SZ y REG_MULTI_SZ es de DOS (2) bytes.

Aviso: OJO con las versiones de los REG!, no hay que importar archivos creados en una versión de Windows en otra versión de Windows.

Los archivos REG de w9x/NT son de versión 4, es decir, son ANSI.

Los archivos de sección son archivos binarios que contienen partes del Registro. Aunque Regedit los muestre juntos y debidamente estructurados como una sólo unidad lógica. Podemos exportar ramas a archivos de sección que usaremos en otros equipos u otros usuarios. Esta exportación es como los REG, sin poder editar o modificar como los REG, tampoco pueden apuntar a configuraciones individuales. La ventaja entonces es centra en la posibilidad de cargarlos y editarlos con Regedit sin que remplacen a la configuración existente. Usando nuestro sentido común podremos elegir entre archivos de sección o archivos REG.

Los archivos de texto no se pueden importar hacia el registro, así que parece que nos servirán sólo para imprimirlos o leerlos con más comodidad que los propios REG.

El Registro: Editándolo

juansa — Thu, 10 Dec 2009 10:40:03 GMT

Primero nos aseguramos que no hay nada que nos prohíba manipular el registro y que podemos añadir, eliminar o renombrar llaves y valores.

Regedit nos muestra en pantalla un editor distinto dependiendo del tipo de valor:

El editor de cadena nos servirá en los tipos REG_SZ y REG_EXPAND_SZ, el DWORD para REG_DWORD, el binario para valores REG_BINARY, y el multi-string para los REG_MULTI_SZ.

Para cambiar un valor, Editar, Modificar y escribir el nuevo valor dentro de la casilla correspondiente. Cuando cambiamos un valor éste se aplica de inmediato, aunque no signifique que Windows u otro programa incorporen el cambio. De hecho, hay cambios que hasta que el sistema o programa no se reinicien no se cargarán.

Lo normal es realizar una copia de seguridad antes de modificar cualquier valor, no estamos libres de errores, para eso somos humanos.

Añadir llaves o valores

Podemos crear llaves y valores sólo si sabemos lo que estamos haciendo:

Seleccionamos la llave donde añadir
clic derecho, elegimos Nuevo
Seleccionamos el tipo de valor
Le damos un nombre y lo editamos para introducir el valor/es que deseamos.

Borrar llaves o valores

Deberíamos exportar aquéllas llaves/valores que vamos a eliminar, por seguridad.

Clic derecho sobre el valor/llave y Eliminar

Renombrar llaves o valores

Clic en la llave/valor y renombrarlo. También podemos seleccionar con clic derecho la opción Cambiar nombre.

El Registro: Usando el editor

juansa — Wed, 09 Dec 2009 12:33:09 GMT

El editor del registro es la herramienta que usaremos para editar el registro directamente. Cada vez que iniciamos sesión el registro cambia, sea a nivel del equipo o porque nosotros cambiamos algo en el panel de control, aplicamos una actualización, ejecutamos un programa concreto, etc… Con el editor del registro comprometemos los valores del registro sin la ayuda de una interfaz de usuario. Esto hace de esta herramienta una más poderosas y peligrosas de las del sistema operativo. Por una parte personalizamos el sistema de maneras que no son posibles mediante el interfaz de usuario, por otra, ninguna otra herramienta controla doblemente los cambios que efectuamos.

Toda versión de Windows (desde Windows 3.1) ha tenido un editor del registro. Por supuesto, durante el paso del tiempo y versiones se ha ido mejorando.

No tenemos ningún acceso directo al editor del registro, REGEDIT, en el menú de inicio, además de que Windows ofrece diversas gpo para limitar el acceso y uso de esta herramienta.

Regedit se encuentra en la raíz del sistema, normalmente C:\Windows. Si queremos ejecutarlo es tan simple como acceder a Ejecutar desde el menú de inicio y escribir regedit.

Con toda su potencia, Regedit se mantiene como un simple programa con un interfaz de usuario directo. Sus menús son simples. Tiene una barra de estado que muestra en pantalla el nombre de la llave actual. Sus ventanas contienen dos paneles, divididos por una línea de separación que podemos arrastrar y soltar para cambiar el ancho de cada uno de los paneles. Con doble clic en la línea se obtiene una división automática. En el panel de la izquierda se muestran las llaves y su jerarquía, mientras en el panel de la derecha es el de los valores.

Regedit guarda su configuración cada vez que lo cerramos, es decir, que cuando volvamos a abrirlo se nos mostrará en el lugar en que lo utilizamos por última vez.

Panel de llaves

Este panel muestra la jerarquía del registro. Se organiza con cada llave, sus hijas o sub llaves colgando de ellas. Arriba encontramos a MI equipo, Mi PC o Equipo, que representa al equipo evidentemente. Cuando se conecta con otro registro de otro equipo de la red, veremos el nombre del equipo en el nivel superior del panel de llaves también. Debajo de MI PC (Equipo) vemos cada una de las llaves raíz del registro local, debajo de estas si vamos desplegándolas, están sus sub-llaves. Cuando alguien se refiera a una Rama es a unaave y sus sub-llaves. Una rama se extiende pulsando en el signo + (más) se retrae si pulsamos en el signo –(menos). Si pulsamos en cualquier llave, podremos obsrvar sus valores en el panel de valores.

Como comentábamos anteriormente, Windows almacena diferentes partes del registro en diferentes archivos de secciones. Regedit muestra en pantalla todos los archivos de secciones juntos, para ver un registro unificado. Podemos ver cuando una rama es su propio archivo de sección ya que su nombre se encuentra en mayúsculas.

Panel de valores

Este panel muestra en pantalla los valores de la llave seleccionada. Tenemos tres columnas: Nombre, tipo y datos. Podemos variar la anchura de las columnas arrastrando los divisores. Cada fila contiene un valor único. El primero de los valores siempre es Default, que es el valor RG_SZ predeterminado de la llave.

Como parece obvio, la columna Nombre nos muestra el nombre junto a un icono que indica el tipo de valor, si es una cadena o es un valor binario.

El primero nos indica un valor binario, mientras el segundo una cadena.

Dentro del editor tenemos la opción de búsqueda, que nos será útil para hallar llaves, valores o datos que nos interesen.

O, tener las llaves deseadas como favoritas.

Después de varias búsquedas comenzaremos a conocer como buscar en el registro más rápidamente, donde comenzar y acabar las búsquedas, seguir la búsqueda con la tecla F3 o ver que nos indica la barra de estado. Aún así es bueno tener en cuenta:

Limitar la búsqueda a la llave HKCR si buscamos asociaciones de archivo.
Mirar en KHCU\Software y HKLM\SOFTWARE si queremos configuraciones de programas.
En HKCU si lo que buscamos son configuraciones por usuario, y en HKLM si son por equipo.
Finalmente la rama HKLM\System es la que contiene controladores de dispositivo y configuraciones de servicios.

Hay herramientas de búsqueda del registro que son de terceros.

Como Registry Crawler (que al parecer 4dev ha dejado de estar disponible)

Como Registry Toolkit

Como Resplendent Registrar

o, como Registry detective.

El Registro: Herramientas y archivos de las secciones

juansa — Thu, 03 Dec 2009 13:57:55 GMT

Aunque hay diversas herramientas para el registro de terceros, sean libres o de probar y comprar, las más comúnmente utilizadas, creo, son:

El editor del registro

Herramienta básica y principal.

Reg.exe

Herramienta en línea de comandos para el registro, nos permite scripts para el registro en archivos de lotes.

WinDiff

Herramienta de las Windows Support Tools.

Archivos de secciones

Con el editor del registro vemos la estructura del registro. Es como Windows nos lo presenta y lo usan los programas, a pesar de cómo lo organiza el sistema operativo en el disco, que es algo más complicado.

Físicamente, Windows organiza el registro en secciones (ramas almacenadas en archivos únicos), cada una es un archivo binario denominado Hive File. Para cada uno de estos, Windows crea archivos adicionales de compatibilidad que contienen copias de seguridad de los datos de la sección. Estas copias permiten al sistema repararla durante la instalación e inicio si hubiese pasado algo malo. Los hives los encontramos sólo en dos llaves raíz: HKLM y HKU (ya que las demás llaves son enlaces dentro de estas dos). Los archivos de las secciones y los archivos de compatibilidad que no pertenezcan a HKU se encuentran en raíz_del_sistema\system32\config. Las de HKU están en los perfiles de usuario.

La correspondencia entre las secciones del registro y el archivo de sección en HKLM es:

HKLM\SAM -----> SAM, SAM.log

HKLM\SECURITY -----> SECURITY, SECURITY.log

HKLM\SOFTWARE -----> Software, Software.log, Software.sav

HKLM\SYSTEM -----> System, System.log, System.sav.

Los .log son transacciones y cambios en la sección, mientras los .sav son una copia del archivo de sección hecho al terminar la fase de modo-texto del programa de instalación de Windows.

La HKLM\HARDWARE es una sección dinámica, Windows crea cada vez el inicio del sistema y por ello no guarda la sección como un archivo de sección al apagar el equipo.

Cada sub-llave en HKU es una sección también, HKU\.DEFAULT por ejemplo cuyo archivo de sección es raíz_del_sistema\system32\config\default.

HKU\SID --> NTUSER.DAT

HKU\SID_Classes –> perfil_usuario\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.

Cada vez que un usuario inicia sesión en Windows, el sistema usa el perfil predeterminado de usuario para crear un nuevo perfil para el que inicia. El perfil contiene un nuevo NTUSER.DAT, que no es más que la sección de perfil de usuario.

Si queremos ver los perfiles cargados por Windows y el archivo de sección que les corresponde miraremos en HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList. Esta llave contiene una sub-llave por cada perfil que el sistema haya cargado, antes o ahora, cuyo nombre es el de la sección en HKU y el valor ProfileImagePath es el que contiene la ruta al archivo de sección, que siempre es NTUSER.DAT.

El Registro: organización

juansa — Mon, 30 Nov 2009 13:55:15 GMT

Como una vista esencial y panorámica, diremos que el registro está compuesto de 5 llaves raíz y de ellas las HKLM y HKU son más importantes que el resto. Son las llaves que Windows guarda en disco, mientras que el resto son enlaces a sub-llaves de una u otra. HKCU es un enlace a una sub-llave de HKU, HKCR y HKCC son enlaces a sub-llaves de HKLM.

Las configuraciones pueden ser para el usuario o para el equipo. En la llave HKCU tenemos los de usuarios y en la HKLM la del equipo.

HKEY_USERS

Aquí nos encontramos al menos con:

.DEFAULT

Configuración por usuario que usa Windows para mostrar el escritorio antes de que cualquier usuario inicie sesión. No es lo mismo que el perfil predeterminado, que utiliza Windows para crear la configuración de los usuarios la primera vez que inician sesión en el equipo.

Donde SID es el identificador de seguridad de la consola de usuario, contiene configuración por usuario. HKCU enlaza con esta llave. Valores de preferencia de escritorio de usuario, configuración de Panel de control, etc…

SID_classes

Donde SID, al igual que el anterior es el identificador de seguridad de la consola de usuario, contiene configuración por usuario, registro de clases y asociaciones de archivos. Windows mezcla los contenidos de HKLM\SOFTWARE\Classes y HKU\SID_Classes en HKCR.

Suelen verse otros SID en HKU, como los SID conocidos: s-1-5-18, s-1-5-19, s-1-5-20, etc…

Cualquier otra sub-llave pertenece a usuarios secundarios, es decir, si usamos el comando RunAs para ejecutar algún programa como usuario distinto.

HKEY_CURRENT_USER

Aquí encontramos la configuración por usuario de la consola del usuario. Esta llave raíz está enlazada a HKU\SID (El SID representa cada identificador de usuario). Esta rama incluye las variables de entorno, configuración del escritorio, conexiones de red, impresoras, y preferencias de las aplicaciones.

Así a bote pronto:

AppEvents

Sonidos asociados con eventos.

Console

Almacena datos del subsistema de consola, que almacena todos modos caracteres de aplicaciones, incluido el prompt de MS-DOS. La llave Console puede contener sub-llaves de ventanas de comando personalizadas.

Control Panel

Configuración de la apariencia del escritorio, configuración de accesibilidad y la configuración regional. Muchos de estos valores se configuran desde el Panel de Control, sin embargo dentro de esta llave hay un montón de configuraciones útiles que carecen de interfaz de usuario; que sólo podemos configurar mediante el registro.

Environment

Variables de entorno establecidas por los usuarios. Los valores predeterminados se encuentran en el perfil del usuario.

Identities

Una sub-llave por cada identidad de Outlook express. Desde la compatibilidad de Windows con perfiles múltiples de usuario, las configuraciones de cada uno van separadas, por lo que esta clave se usa ya pocas veces.

Keyboard Layout

Información sobre los teclados instalados.

Network

Información sobre las unidades de red. Cada sub-llave dentro de Network es una unidad de red, conteniendo su configuración a usar para reconexión.

Printers

Preferencias de usuario de impresoras.

Software

Configuraciones de aplicación por usuario. Windows tiene muchas de sus configuraciones dentro de esta llave.

Volatile Environment

Variables de entorno definidas dentro de la sesión de usuario.

HKEY_LOCAL_MACHINE

Esta llave raíz contiene los valores por equipo, que significa que la configuración establecida aquí es de aplicación al equipo y afectará a cada usuario que inicie sesión en el.

HARDWARE

Descripción del hardware que Windows detecta e inicia. Esta llave se crea cada vez que el sistema operativo inicia, incluyendo la información sobre dispositivos, sus controladores y recursos asociados.

SAM

Base de datos de Seguridad Local de Windows, el Administrador de cuentas de Seguridad (SAM), donde Windows almacena usuarios y grupos. Las listas de control de acceso de esta llave (ACL) impiden verla, aun siendo administrador. Es un enlace a la llave HKLM\SECURITY\SAM

SECURITY

Contenido de la sub-llave SAM y algunos otros valores de seguridad. La ACL impide verla, a menos que hagamos por verla, claro.

SOFTWARE

Configuraciones de las aplicaciones por equipo. Windows también almacena configuraciones propias aquí.

SYSTEM

Contiene conjuntos de control, del que uno será el actual. Los conjuntos quedan disponibles para su uso por Windows. Cada sub-llave se llama ControlSet???, donde ??? es un número que se incrementa y que comienza por 001. El sistema operativo mantiene al menos dos conjuntos de control para asegurarse que puede iniciarse correctamente siempre. Estos conjuntos contienen configuraciones de servicios y controladores de dispositivo. HKLM\SYSTEM\CUrrentControlSet es un enlace a ControlSet???, y HKLM\SYSTEM\Select al ControlSet??? en uso.

HKEY_CLASSES_ROOT

Aquí se esconden dos tipos de configuración. La primera de ellas es la asociación de archivos, que asocia los distintos tipos de archivo con los programas que pueden abrirlos, editarlos, imprimirlos. La segunda es el registro de clases para los objetos COM. Esta es una de las llaves más interesantes del registro a personalizar, nos permite cambiar el comportamiento del sistema operativo. Es la más grande además, por lo que consume la mayor parte del espacio del registro. Ha sufrido algunos cambios desde Windows 2000, realizando una mezcla de llaves que se supone que son beneficiosos, como:

Los programas pueden registrar su asociación de archivo y clase tanto por usuario como por equipo.
Distintos usuarios que comparten el equipo pueden estar utilizando diferentes programas para editar el mismo tipo de archivo, sin que ello afecte a ninguno de ellos.
Debido a que el registro de clases y asociaciones de archivo por usuario están en el perfil de usuario, le siguen a cualquier equipo al usar perfiles móviles.
Podemos limitar el acceso a HKLM\SOFTWARE\Classes sin impedir a los usuarios cambiar HKCU\Software\Classes, ganando en seguridad en el registro sin consecuencias en la posibilidad de que los usuarios cambien las asociaciones.

HKEY_CURRENT_CONFIG

Enlace a los datos de configuración del perfil actual de hardware, HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\****, donde **** es un número incremental desde el 0000.

El Registro: estructura

juansa — Fri, 27 Nov 2009 13:38:48 GMT

La estructura del registro de Windows es muy parecida a la estructura del sistema de archivos:

En el editor del registro (ya charlaremos sobre el), se muestra en el árbol de la izquierda, panel de llaves, la jerarquía del registro. Aquí cada carpeta es una llave del registro. A la derecha, panel de valores, observamos los valores de las llaves. El explorador de Windows nos muestra también la jerarquía de carpetas y los valores en dos paneles.

Llaves

Las llaves son similares a las carpetas ya que tienen las mismas reglas de nombrado. Podemos anidar una o más llaves dentro de otra llave, mientras sus nombres sean únicos dentro de cada llave. El nombre está limitado a 512 caracteres ANSI o 256 Unicode y podemos usar cualquier carácter ASCII que no sea la barra invertida \, el asterisco *, y la interrogación ?. Windows se reserva todos los nombres que comienzan con un periodo para su propio uso.

Las similitudes entre el registro y el sistema siguen con las rutas. La ruta C:\Windows\System32\notepad.exe se refiere al archivo Notepad.exe en la unidad C, carpeta Windows, subcarpeta System32. La ruta HKLM\System\CurrentControlSet\Control\CurrentUser se refiere al valor CurrentUser de la llave raíz HKLM, que se encuentra en la subllave Control de la subllave de SYSTEM llamada CurrentControlSet. Notación de nombre cualificado con el que frecuentemente nos referiremos a una llave y todas sus subllaves como una RAMA.

Como punto a tener en cuenta me referiré a las llaves enlazadas. Windows almacena perfiles de hardware en la RAMA HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\, cada perfil es una subllave xxxx, donde xxxx es un número incremental que comienza por 0000. La subllave Current es un enlace a toda llave que actualmente se encuentre en los perfiles de hardware, y la llave Raíz HKCC es un enlace a Current.

Valores

Cada llave contiene uno o más valores. El nombre de un valor es parecido al nombre de un archivo. El tipo de un valor es similar a la extensión de un archivo, que es lo que indica su tipo. Los datos del valor es parecido al contenido actual del archivo. Si pulsamos en una llave del registro en el panel de llaves del editor, el panel de valores nos mostrará los pertenecientes a dicha llave. En el panel de valores observamos tres columnas, correspondientes a tres partes de un valor:

Nombre. Todo valor tiene un nombre. Con las restricciones ya comentadas. Dentro de cada llave ese nombre será único, pudiendo usar el mismo nombre en distintas llaves.
Tipo. Cada tipo de valor determina el tipo de dato que puede contener. REG_DWORD un número double-word, REG_SZ una cadena, etc…
Datos. Cada valor puede estar vacio, nulo o puede contener datos. Los datos se limitan a 32767 bytes, aunque el límite práctico son 2KB. Los datos se corresponden con su tipo, exceptuando los valores binarios que pueden contener cadenas, doble-words, o cualquier otro.

Cada llave contiene al menos un valor, el valor predeterminado. Casi siempre una cadena, pero algunos programas lo cambian por otros tipos. En muchos casos el valor predeterminado es NULL y el editor nos indica 'valor no establecido'.

Tipos

REG_BINARY

Datos binarios, se muestran en hexadecimal y se introducen datos binarios en hexadecimal.

REG_DWORD

Valores doble-word de 32 bits. Muchos son banderas booleanas (si o no). Valores de tiempo en milisegundos. Números de 32-bits, firmados o no (hay unos rangos). Los valores se ven en decimal o hexadecimal.

REG_DWORD_BIG_ENDIAN

Orden de los bytes Big_Endian

REG_DWORD_LITTLE_ENDIAN

Orden de los bytes Little-Endian

REG_EXPAND_SZ

Texto de longitud variable. Puede incluir variables de entorno que se expandirán luego por el programa antes de su uso.

REG_FULL_RESOURCE_DESCRIPTOR

Lista de recursos para un dispositivo o controlador de dispositivo. Importante para el Pinchar y Listo P&P.

REG_LINK

Enlace. No los podemos crear nosotros.

REG_MULTI_SZ

Valores binarios que contienen listas de cadenas. El editor muestra una cadena por cada línea y nos permite editarlas. Un carácter nulo 0x00 separa cada cadena y dos nulos el final de la lista.

REG_ONE

Sin tipo definido

REG_QWORD

Quadruple-word (64 bits).

REG_QWORD_BIG_ENDIAN

Quadruple-word (64 bits). Como Big_Endian.

REG_QWORD_LITTLE_ENDIAN

Quadruple-word (64 bits). Como Little-Endian.

REG_RESOURCE_LIST

Lista de los valores de REG_FULL_RESOURCE_DESCRIPTOR. El editor nos deja verlos pero no editarlos.

REG_RESOURCE_REQUERIMENTS_LIST

Lista de recursos que un dispositivo necesita. No podemos editarlo.

REG_SZ

Texto de longitud fija. Es el más común, otro valor REG_DWORD. La cadena termina con un carácter nulo y los programas no expanden las variables de entorno contenidas en valores RG_SZ.

De todos los valores del registro, el valor binario es el menos sencillo. Cuando una aplicación lee un valor binario desde el registro, descifrar su contenido le corresponde a ese programa. Esto significa que las aplicaciones pueden almacenar datos en valores binarios usando sus propias estructuras de datos, que no significan nada para nosotros u otros programas. También, las aplicaciones, frecuentemente, almacenan datos REG_DWORD y REG_SZ en REG_BYNARY, lo que dificulta su búsqueda y descifrado.

Ahora se complica, el registro en la actualidad almacena todos los valores como valores binarios. Las API del registro identifican cada tipo de valor mediante un número, al que los programadores se refieren como constante, y que se tiende a denominar como el número de tipo.

Número	Tipo
0	*REG_ONE*
1	*REG_SZ*
2	*REG_EXPAND_SZ*
3	*REG_BINARY*
4	*REG_DWORD*
4	*REG_DWORD_LITTLE_ENDIAN*
5	*REG_DWORD_BIG_ENDIAN*
6	*REG_LINK*
7	*REG_MULTI_SZ*
8	*REG_RESOURCE_LIST*

El alma de Windows: el registro

juansa — Thu, 26 Nov 2009 10:35:39 GMT

Recuerdos

La configuración en MS-DOS se componía de los archivos config.sys y autoexec.bat.

El primero cargaba los controladores de los dispositivos, mientras que el segundo se encargaba de ejecutar programas, establecer las variables de entorno, y algo más, para preparar el uso de MS-DOS.

Cada aplicación era responsable de sí misma, así como de su configuración.

Obviamente ninguno de estos archivos sirve en Windows.

Windows 3.0 fue el primero que introdujo los archivos INI de configuración, que no eran sino simples archivos de texto con una o varias secciones y, en cada una, uno o varios valores de configuración. Uno de sus contras era carecer de jerarquía y además almacenar valores binarios era engorroso, aunque posible, y el almacenamiento de valores no tenía un estándar para tipos similares de configuración. Relación entre aplicaciones y el sistema operativo fatal y el caso es que cada aplicación tenía su propio INI.

En Windows 3.1 apareció el registro como una herramienta de almacenamiento de configuraciones OLE, mientras que Windows 95/NT 3.5 lo extendieron a una base de datos que al fin y al cabo, es la que Windows XP o Windows 2003 usan. A pesar de que los INI ya no son necesarios, las aplicaciones ahora tienen un camino mucho mejor donde almacenar su configuración, siempre encontraremos varios archivos INI desperdigados en cualquier equipo.

Tópicos

Aun con todos sus beneficios, el registro de Windows es una paradoja. Por una parte, un lugar centralizado para todos los datos de configuración de Windows. La piedra angular. De otra parte, el hecho de que el registro sea tan importante también hace que sea una de las debilidades del sistema operativo. Quita la piedra angular y el castillo se derrumba. Si el registro falla, el sistema falla. Afortunadamente un fallo total es menos probable a que me toque la lotería y un fallo parcial que impida el inicio del equipo es fácil de superar.

EL papel de piedra angular del registro es una de las razones de su cariz mítico. Microsoft no ha hablado mucho sobre él. No tenemos un editor en el menú de inicio, encontramos poca información en la ayuda, carecemos de documentos que nos enseñen sus secretos. Parece que sea mágico, y la verdad es que no deja de ser simplemente la configuración del equipo.

Las advertencias que nos encontramos a montones en los lugares donde se hallan instrucciones para editarlo son definitivamente exageradas. Hay poco daño que podamos causarle y que no pueda recuperarse tomando las mínimas precauciones (tener una copia en lugar seguro :-)).

A tener claro

Las cosas que deberíamos conocer para trabajar eficientemente con el registro, por ejemplo, familiarizarnos con la notación hexadecimal, conversión hexadecimal-binario y hexadecimal-decimal, GUIDs, Unicode contra ANSI, etc…

Identificadores de seguridad

Cuentas de equipo y usuarios, grupos y otros objetos relacionados con la seguridad son Objetos principales de seguridad. Los Identificadores de Seguridad o SID identifican inequívocamente a los objetos principales de seguridad. Cada vez que Windows y Directorio Activo crean un objeto principal de seguridad le generan un SID. LSA (Local Security Authority) genera los SID para objetos principales locales y entonces los almacena en su base de datos de seguridad local. Domain Security Authority genera los SID para los objetos principales de seguridad del dominio y los almacena en AD. Los SID son únicos dentro de su ámbito. Cada SID local es único en el equipo, como cada SID de dominio lo es dentro del dominio. Windows nunca reusa un SID, o sea, aunque se elimine un objeto principal. De hecho si borramos una cuenta y la volvemos a crear ésta tendrá un nuevo SID.

Es importante recordar que cada cuenta dispone de un SID. Es como tener un número de DNI que te identifica inequívocamente en tu país. Podemos referirnos a una cuenta por su nombre o por su SID, aunque en la práctica rara vez usamos el SID. En el registro veremos frecuentemente los SID de cuenta, por ello la necesidad de familiarizarse sobre ello.

Un SID de ejemplo S-1-5-21-224257856-4948505641-1666550967-500. Los SID siempre comienzan con s-. El número siguiente identifica la versión del SID (aquí versión 1). Luego un número indicando la autoridad de identificación y que normalmente es 5, NT Authority en es caso. La cadena de números siguiente hasta 500 es el identificador de dominio, el resto es un identificador relativo, que es la cuenta o grupo. Esto es una aproximación al formato del SID, cuya complejidad es superior a este breve ejemplo.

Algunos SID son más cortos que en el ejemplo, son los SID conocidos y son los mismos en cada equipo y dominio. Son interesantes porque aparecen una y otra vez tanto en el registro como en otras partes.

SID conocidos

Identificadores globales únicos

Los identificadores globales únicos, más conocidos como GUIDs, son números que identifican objetos inequívocamente como equipos, componentes de programa y dispositivos. Estos objetos a menudo tienen nombre, pero sus GUID permanecen de forma única aun si dos objetos tienen el mismo nombre o si se les cambia el nombre. En otras palabras, un GUID es similar a un SID. Hay muchos GUID en el registro.

Todos tienen el mismo formato. Son números hexadecimales en grupos de 8,4 ,4, 4 y 12 dígitos (del 0-9 y de la A-F). Un guión divide cada grupo de dígitos, y las llaves {} engloban al número entero. Por ejemplo: {645FF040-5081-101B-9F08-00AA002F954E}, que representa el objeto de papelera que vemos en el escritorio.

Los desarrolladores usan Guidgen.exe para crear GUIDs, pero Windows los genera también. A pesar del origen, Windows garantiza que los GUID son globalmente únicos. No hay que preocuparse de cuantas veces se generan los GUID, el resultado es siempre único. Por eso los GUID son perfectos para identificar equipos y dispositivos.

Notación hexadecimal

El 99% de los datos que se ven en el registro están en notación hexadecimal. Los equipos usan notación hexadecimal más que la decimal por una buena razón, que se comprenderá rápidamente. Saber leer y convertir números hexadecimales es un buen elemento en nuestro trato diario con el registro.

Las notaciones decimales y binarias no se intercambian bien, de hecho nosotros hemos aprendido de pequeños la decimal sobre ‘todas las cosas’ ;-).

El número 546 sería 5*10^2 + 4*10^1 + 6*10^0, es decir: 5*100+4*10+6*1. Esto es Base 10.
El número 1011 sería 1*2^3 + 0*2^2 + 1*2^1 + 1*2^0, es decir: 1*8+0*4+1*2+1*1 o 11 en Base 10, aunque el número, dígitos 0 y 1, está en Base 2.
Convertir Base 2 en Base 10 es trabajoso.

Esto nos lleva a la notación hexadecimal, o Base 16, con sólo dividir 16/2 convertir a binario (base 2) es algo sencillo. De todas formas, tener una tabla a mano para conversiones siempre viene bien.

Base 2 Binario	Base 16 Hexadecimal	Base 10 Decimal
0000	0	0
0001	1	1
0010	2	2
0011	3	3
0100	4	4
0101	5	5
0110	6	6
0111	7	7
1000	8	8
1001	9	9
1010	A	10
1011	B	11
1100	C	12
1101	D	13
1110	E	14
1111	F	15

Pasar el número 11111111 a hexadecimal es tan fácil como que 1111=F, así que 11111111 = FF.

Una última cosa a tener en cuenta, para diferenciar el número 12 decimal del número 12 hexadecimal se añade al segundo el prefijo 0x, quedando entonces el 0x12 como hexadecimal y el 12 como decimal.

Un pequeño truco para las conversiones es usar la calculadora de Windows, donde introduciendo un número lo convertimos a otras Bases con un par de clics.

Little-Endian, Big-Endian

En un número hexadecimal como 0x0102, el 0x01 es el byte más significativo y el 0x02 el menos significativo.

Los programas almacenan números en memoria de dos maneras: big-endian o little-endian. Si usan la primera, almacenan los bytes más significantes en memoria primero, seguido de los menos significantes, por ejemplo: 0x01020304 es 0x01 0x02 0x03 0x04. Sin embargo los procesadores Intel usan la otra manera, que significa que almacenan los menos significantes primero, seguido de los más significantes; el mismo número en memoria es =x04 0x03 0x02 0x01.

Aunque las herramientas que usaremos muestran todos los números –little o big-endian- correctamente, hemos de prestar atención cuando miramos números en valores binarios, ya que las herramientas no revierten el orden de los bytes por nosotros. Si vemos el número 0x2F 0xAA en valor binario recordemos que para revertir el orden de los bytes cogeremos el resultado 0xAA2F.

Algo así.

Codificación ANSI y Unicode

El esquema de codificación de caracteres prominente (texto que representan los equipos) era el ASCII, y que aún permanece hoy en día. En esta codificación, cada carácter es de 8 bits, o de un byte. Ya que ASCII era para idiomas occidentales, su uso fue limitado en países europeos y regiones cuyos idiomas contienen caracteres no incluidos en los 256 soportados por ASCII. Para superar esta limitación, la ISO creó una codificación estándar denominada Latin-1, que incluye caracteres europeos fuera del conjunto ASCII. Microsoft mejoró el Latin-1 y lo llamó ANSI. Pero ANSI sigue siendo de 8-bits y puede representar sólo 256 caracteres. Muchos idiomas tienen cientos de símbolos, en particular los asiáticos como el chino, koreano o japonés.

Para superar las limitaciones de las codificaciones de 8-bits, Microsoft junto a compañías como Apple e IBM, crearon el consorcio sin ánimo de lucro Unicode Inc. para definir una codificación nueva para juegos de caracteres internacionales. El trabajo realizado junto al ya en progreso por ISO, dio como resultado el estándar Unicode, que no es sino una codificación estándar de 16-bits, con lo que proporciona 65536 caracteres –más que suficiente para representar todos los idiomas del mundo.

Unicode es la codificación nativa de Windows, aunque es compatible con ANSI. Internamente, el sistema representa los archivos, objetos, rutas, como caracteres de 16-bits. También es normal almacenar datos en el registro usando Unicode.

Cadenas nulas o vacías

El concepto nulo es conocidísimo para los desarrolladores de C, 0x00, o sea el carácter NULL. Windows siempre acaba las cadenas con el carácter NULL, así los programas saben donde finaliza la cadena.

En el registro, el concepto es similar, el valor que contiene datos nulos significa que no contiene datos. Eso es, VACÍO. Normalmente cuando vemos un valor NULL en el registro leemos ‘valor no establecido’. Esto cambia si lo que se contiene es una cadena vacía, o sea cero caracteres de longitud o "". No es lo mismo NULL <> que "".

Análisis del dump I –Preparando las herramientas

juansa — Sun, 11 Oct 2009 09:47:13 GMT

Para analizar el archivo de volcado que se genera al colgarse Windows necesitaremos un depurador y los símbolos pertenecientes al sistema operativo en el que se ha producido ese dump.

Los mini-dumps se almacenan en la carpeta "ruta_del_sistema\Minidump", y contienen la información del stop, los datos de la pila del modo kernel y una lista de los controladores cargados.

Desde Debugging Tools for Windows podremos descargar las herramientas de depuración de 32/64 bits y los paquetes de símbolos, sinó configuramos el depurador para que los use desde internet.

Yo descargo la versión de 32 bits puesto que mi Windows 7 actual es el de 32 bits (cosas de pruebas).

Install Debugging Tools for Windows 32-bit Version

Luego los símbolos respectivos,

Download Windows Symbol Packages

El tamaño de un paquete de símbolos ronda los 300Mb y cada uno servirá para el sistema en concreto, puede configurarse Windbg para usar el servidor de descarga de MS.

Instalando las herramientas

Lo primero dirigirme donde he descargado el paquete msi y desbloquearlo:

Luego proceder a la instalación:

*Casi con seguridad que UAC nos pedirá confirmar la acción de instalación después de elegir el modo en la tercera pantalla.

Ya nos aparecen en el menú:

Vamos a abrir Windbg y a configurar donde tiene los símbolos o desde donde descargarlos:

Hay que elegir una carpeta en el equipo donde se descargarán los símbolos desde el servidor de descarga, por ejemplo y siguiendo el ejemplo (valga la redundancia) de la propia MS, yo he creado la carpeta c:\websymbols, y la ruta a utilizar en la configuración de Windbg sería: SRV*c:\websymbols*http://msdl.microsoft.com/download/symbols

Podemos asimismo utilizar el botón Browse para buscar las rutas en el equipo.

Podemos establecer varias rutas de paquetes de símbolos.

Controlar el rendimiento I

juansa — Sun, 04 Oct 2009 11:59:45 GMT

Estaremos de acuerdo en que realizar un control rutinario del rendimiento nos servirá para propósitos como:

Detectar y diagnosticar problemas de rendimiento
Comprobar que los servicios cumplen con los niveles acordados
Ayuda para poder prevenir escasez de recursos antes de ésta suponga un impacto al nivel de los servicios.

Saber que contadores registrar

Una rutina de control del rendimiento efectiva en la detección y diagnóstico, además de resolver los problemas de rendimiento comunes, debería reunir quizás cantidades enormes de datos, para editarlos, resumirlos y usarlos en informes y programación.

La primera de las cuestiones a determinar puede que verse sobre los contadores de rendimiento; entre todos los disponibles debemos reunir un conjunto básico.

Una monitorización diaria, con sesiones de registro de contadores en segundo plano, para reunir los datos de rendimiento según ese conjunto básico de contadores de forma continua que nos permita la posibilidad de resolver problemas comunes cuando surjan. Como no somos adivinos y nos es imposible conocer de antemano qué recursos clave están saturados en un equipo con problemas de rendimiento, quizás en un mundo perfecto deberíamos reunir datos de todos los recursos: procesador, memoria, disco y red; pero el sentido común nos dice que es una burrada, así qué nos queda la idea de ser selectivos en cuanto a los datos a reunir, su cantidad y con qué frecuencia. Es decir, un intento de encontrar un justo equilibrio entre la cantidad de datos a reunir para analizar y el costo asociado a este proceso.

La detección y diagnóstico de problemas comunes de rendimiento implica recursos sobrecargados, necesitamos reunir un gran rango de datos detallados del procesador, memoria, disco y uso de red y de las cargas que están soportando. Los datos deben incluir contadores que puedan indicar condiciones de error, en especial los que se dan como resultado de falta de recursos internos.

Procedimientos de control diario

Un procedimiento de control rutinario debe incluir:

Recogida automática de una vista en detalle del rendimiento del sistema mediante los registros de contador.
Control de los indicadores de errores de aplicaciones de servidor y del sistema.
Configuración de alertas que provoquen registros de contador de diagnóstico e información detallada.
Conservación resumida de estadísticas de rendimiento.
Administración de los registros de contador generados automáticamente por estos procesos.

Registros de contador diarios.

Primer paso, establecer un registro automatizado de datos con Logman. Por ejemplo:

Logman create counter registro_diario –cf "ruta_del_archivo_de_configuracion\archivoconf.txt" –o ruta_archivo\diario\registrodiario –b 1/10/2009 00:00:00 –cnf 24:00:00 –si 1:00 –f BIN –v mmddhhmm

Después de la ejecución podemos verlo desde la interfaz gráfica de Rendimiento:

Descripción:

Se crea un contador llamado registro_diario, donde se registrarán los contadores especificados en C:\perflogs\archivoconf.txt.

El registro se iniciará automáticamente por el monitor del sistema, una vez reiniciada la máquina y sea el 5 de octubre de 2009.

Las muestras se toman cada minuto, el formato del archivo de registro es el Binario.

Los archivos llevaran en su nombre la fecha, en formato mmddhhmm.

El archivo de configuración nos servirá para indicar los contadores que deseamos registrar o si queremos añadir contadores de aplicaciones específicas.

La pantalla azul II- Ha petado o petado, ¿pero hay solución?

juansa — Tue, 29 Sep 2009 12:18:29 GMT

Dependeeee… ¿de qué?. De las ganas que se tengan de encontrar solución, hay muchos que reinstalan el sistema pensando que así desaparecerá el problema, y yo digo que puede que no y puede que tampoco, tarde o temprano si tenemos los mismos dispositivos, el mismo sistema, los mismos controladores y las mismas aplicaciones… regresará. Otra cosa es si al mismo tiempo cambiamos cosas y no nos damos cuenta que estamos eliminando la causa, pero en fin, contra gustos no hay colores, ni el azul.

Yo sí tengo ganas de solucionarlos. Por ello, primero analizo si es cosa del sistema o de alguna aplicación, luego sigo unas premisas bastante básicas para ir poco a poco profundizando si fuese necesario.

Cuando uno o varios equipos se ponen pesados en mostrarnos BSOD’s puede que sea por diversas razones:

- que hayamos instalado nuevos dispositivos,

- nuevo software o,

- de verdad se ha roto algo.

Yo pienso que el azul no sale "porque sí", es decir, pienso que el desencadenante es reciente y no creo nunca eso de "no hemos hecho nada". Una nueva aplicación, un nuevo escáner, ratón, tarjeta, controladores,…

Si hemos actualizado o instalado un nuevo controlador y al reiniciar nos saluda con una pantalla azul… pues que te voy a contar: Reinicia de nuevo y pulsa la tecla de función F8 y escoge "la última configuración buena conocida". Esto lo que hará es volver hacia atrás, evitando el nuevo controlador instalado.

Al reiniciar después de una bsod, bootmgr automáticamente detecta que no se apagó correctamente y mostrará una pantalla similar a la anterior (Windows Error Recovery), que nos ofrece algunas opciones; en este caso reparar el inicio. (En este caso la bsod fue provocada en un windows 7 en español)

Si las pantallas azules nos aparecen después de haber pasado ya tiempo de cualquier instalación de soft o hard no nos quedará otro remedio que intentar buscarnos la vida de algún modo, si es que queremos encontrar solución.

Aquí tenemos el primer paso importante, para poder indagar necesitamos datos y creo recordar que comenté algo de DUMPS, es decir, archivos de volcado de memoria. Bien, lo primero es lo primero.

Archivos de volcado

De forma predeterminada todos los Windows están configurados para intentar la grabación de información relativa al estado del sistema durante un cuelgue. La configuración se encuentra en la pestaña avanzada de las propiedades del sistema:

Clic derecho Equipo –> Propiedades –> Configuración avanzada del sistema del árbol izquierdo –> Pestaña Opciones avanzadas –> Sección Inicio y recuperación –> Sección Error del sistema.

La configuración predeterminada con la que me encuentro en windows 7:

Grabar un evento en el registro del sistema
Reiniciar automáticamente
Un Volcado de memoria del kernel
La ruta del volcado es: %SYSTEMROOT%\MEMORY.DMP
Sobrescribir cualquier archivo existente

Los volcados, son tres –aunque en la imagen de win7 sólo hay dos-:

Volcado de memoria del kernel
Volcado de memoria completo
Volcado de memoria pequeño (128KB)

¿Sus diferencias?

El tamaño del archivo final es concluyente.

1) Sólo contiene páginas de memoria presentes lectura/escritura en modo kernel y en la memoria física, todo ello en el momento del cuelgue. Por su tipo y debido a que sólo el código en modo kernel puede causar cuelgues, parece el más indicado, aunque habrá ocasiones que necesitaremos depurar los procesos de usuario.

2) Lo que contiene la memoria física en el momento del cuelgue.

3) Con un tamaño entre 128KB y 1MB, denominado mini-Dump también, contiene el código de stop y sus parámetros, la lista de controladores de dispositivo cargados, las estructuras de datos que describen el proceso actual y el hilo, la pila del kernel para el hilo que ha causado el cuelgue y aquélla porción de memoria considerada relevante para el caso, de forma heurística.

Yo lo dejo de forma que no reinicie automáticamente, así puedo leer los datos de la pantalla azul mientras se realiza el volcado, y el volcado del kernel (el minidump siempre lo hace).

Después de la pantalla que hemos visto en la primera imagen, desde el interfaz de Windows se nos informa que el sistema se ha recuperado de un error grave, ofreciéndonos algunas opciones (esto sería para un análisis online).

Ok. Tenemos los dumps. Pues ya veremos si hacemos algo con ellos. También podemos forzar un dump manualmente vía teclado.

Y, ¿podemos realizar dumps si es una aplicación o servicio (no se cae el sistema) el del Hang?

Sí por supuesto.

Usando NTSD
Con Userdump.exe, Cómo.
Adjuntando y guardando el dump de forma interactiva via NTDS
Adjuntando y guardando el dump de forma interactiva via WinDbg
Usando ADPlus en modo Hang.

También necesitaremos los símbolos del sistema a analizar para usarlos con algún depurador.

La pantalla azul de la muerte BSOD

juansa — Sun, 27 Sep 2009 09:14:48 GMT

El azul es mi color favorito, no sé si es por ser acuario. Tengo el mar a mi lado, tenemos un cielo azul la mayor parte del año, etc…

Eso sí, cuando lo veo mostrado por Windows se transforma! :-)))

Está claro que ese bonito color azul no es más ni menos que una BSOD (Blue Screen Of Death), la pantalla azul de la muerte.

Una de las primeras cosas que se me vienen a la cabeza es, simplemente, que el equipo ha petado. Y ya en lo de petar, una de las primeras confusiones al respecto es la diferencia entre petar y petar. ¿Ha petado porque ha petado? o ¿Simplemente ha petado? :-)

Me explico: En inglés hablan de Crash y de Hang, que a veces van relacionados, es decir, que a veces un Hang es una consecuencia directa de un Crash. Yo siempre digo que ha petado o ha petado, pero parece que no es lo mismo, me explico.

Petar (Crash): La cpu no puede llevar a cabo su trabajo por una instrucción (cálculo, lectura/escritura) incorrecta. En cuanto sucede esto, Windows es tan listo que inicia una recogida de datos y los guarda para analizarlos. Si el pete es del propio sistema operativo, además, nos regala con una pantalla azul llena de garabatos y la información de la memoria del kernel o de la totalidad de la memoria física(dependerá de la configuración) la guardará en un archivo denominado DUMP, un archivo de volcado de memoria. Si el pete ha sido de una aplicación o servicio el dump será de la memoria de usuario. Este último lo llaman muchas veces el archivo de volcado de memoria post-mortem y que podemos enviar a un depurador post-mortem, que aunque pueden ser varios los depuradores se ejecutará el especificado en el registro.

Petar (Hang): Este también podemos analizarlo con un dump. La primera diferencia es que se manifiestan de forma diferente (¿petar<>petar? Me pierdo.)

Veamos como peta (Crash) una aplicación (proceso): plas! peta y desaparece de la lista de procesos en ejecución;

¿y como peta (Hang)? Pues se queda ahí, como embobado, esperando no se sabe a qué, COLGADO vamos…

Los cuelgues de aplicaciones o sistema se producen por ciertos fenómenos de mala entrega de mensajes. Las aplicaciones, o componentes del propio sistema se relacionan entre sí por ese medio, se mandan mensajitos. Y claro, esperan respuesta, y aquí está el quid de la cuestión, que se quedan esperando, esperando, esperando…

Y no hay nada más colgado que dos aplicaciones en ejecución que se esperan una a otra.

El dilema de Windows: ¿Qué hacer ante una excepción ilegal? Alguien está intentando hacer algo que se supone que no debería hacer y para más inri dispone de privilegios de acceso elevados. ¿Entonces? ¿Por qué acaba colgándose? ¿No podría ignorar dicha excepción y permitir al controlador o subsistema seguir como si no hubiera pasado nada? De hecho podría hacerlo y pensar que el error es aislado y el componente, de alguna manera, podrá recuperarse. Pero, lo más probable es que acabe con problemas mayores y es un riesgo muy alto.

La pantalla azul

KeBugCheckEx, documentada en el WDK (Windows Driver Kit), es la encargada de dar el pantallazo.

KeBugCheckEx muestra en pantalla los garabatos que nos servirán para ir investigando. El código de stop y tras la palabra STOP muestra el código numérico y 4 parámetros.

En la imagen(provocada por cierto), el código que se muestra es: DRIVER_IRQL_NOT_LESS_OR_EQUAL, el equivalente al código numérico detrás del STOP: 0x000000D1. Cuando un parámetro contiene una dirección al código de parte del sistema operativo o controlador de dispositivo, Windows muestra la dirección base del módulo donde se presume el fallo, la fecha y el nombre del controlador. Con esta sola información ya podríamos localizar el componente que está fallando.

Aunque hay más de 300 códigos de stop, la mayoría no se suelen ver. No demasiados representan la mayoría de los cuelgues de Windows. El significado de los cuatro parámetros adicionales dependerá del código de stop (que no se dan en todos). Aún así con el código de stop y los parámetros (si los muestra) pueden, al menos, darnos la posibilidad de diagnosticar el componente que está fallando ( o el controlador de dispositivo que causa el cuelgue).

Podemos encontrar la información de los errores de stop en el archivo de ayuda de las herramientas de depuración para Windows, sección Bug Checks (Blue Screens) o, basándonos en el código del error o en el nombre del hardware o aplicación sospechosa, buscarla en la Knowledge Base. Siempre podemos encontrar información sobre alternativas, actualizaciones, services pack que arreglen el problema que se está padeciendo. El archivo Bugcodes.h del WDK contiene una lista completa de los aproximadamente 300 códigos de error de stop con detalles y razones adicionales en algunos casos.

Los contadores de rendimiento: Procesador

juansa — Mon, 24 Aug 2009 09:37:07 GMT

Procesador

Processor(_Total)\% Processor Time Counter (\Procesador(*)\% de tiempo de procesador)

Tipo de contador:	Intervalo (% Ocupado)
Descripción:	Media de uso global del procesador en el intervalo. Cada intervalo en el que el procesador no ejecuta el hilo IDLE se supone que está ocupado por alguna carga de trabajo real.
Medición:	Se toma una muestra del estado del procesador una vez cada periodo del intervalo por una función de medida del sistema. El contador % de tiempo de procesador se computa desde un ratio de muestras comparadas entre su ejecución e IDLE. (100% – ((Muestras – Idle) / Muestras 100)*
Uso:	Indicador del uso global del procesador.
Rendimiento:	Indicador para determinar si el procesador es un cuello de botella.
Programación:	Tendencia y previsión del uso del procesador.
Que hace:	Periodos sostenidos de uso del 100% pueden significar un proceso fuera de control.
Alerta de umbral:	80/90%
Medidas relacionadas:	Processor(_Total)\% Privileged Time (\Procesador()\% de tiempo privilegiado) Processor(_Total)\% User Time* (\Procesador()\% de tiempo de usuario) Processor(n)\% Processor Time* (\Procesador()\% de tiempo de procesador) Process(n)\% Processor Time* (\Proceso()\% de tiempo de procesador) Thread(n/Index#)\% Processor Time (\Subproceso()\% de tiempo de procesador)

System\Processor Queue Lenght Counter (\Sistema\Longitud de la cola del procesador)

Tipo de contador:	Instantáneo
Descripción:	Número de subprocesos que se han observado como retrasados en la cola del procesador y que esperan para su programación de ejecución. Se ordenan por prioridad, la mayor prioridad se programa para ejecutarse en cuanto el procesador entra en el subproceso IDLE.
Medición:	Se toma una muestra cada periodo de tiempo de un intervalo. La muestra informa el valor último visto en la medida, obtenido por la función de medida del procesador que se ejecuta periódicamente.
Uso:	Muchos procesos de programas están dormidos en estados voluntarios de espera. El subconjunto de subprocesos activos establece un límite superior práctico de la longitud de la cola del procesador que puede observarse.
Rendimiento:	Indicador secundario para determinar si el procesador es un cuello de botella.
Programación:
Que hace:	Una indicación de la limitación de la capacidad del procesador por causa de excesivos retrasos de aplicaciones.
Alerta de umbral:	Longitud mayor de 5.
Medidas relacionadas:	Thread(parent-process\Index#)\Thread State (\Subproceso(*)\Estado de subproceso)

Los contadores de rendimiento: el sistema

juansa — Tue, 18 Aug 2009 08:56:24 GMT

Los contadores disponibles en un equipo que ejecuta Windows Server 2003 son diversos y son utilizados para informar sobre el sistema, las aplicaciones y el rendimiento.

** Hay que tener en cuenta el idioma del sistema operativo. Yo suelo usarlo en inglés y le aplico el MUI en español para los usuarios que no se encuentran cómodos con este idioma. Lo digo por los nombres de contador, intentaremos poner el nombre usado en ambos idiomas pero prima siempre el original en inglés.

Disponibilidad del Sistema

System\System Up Time (\Sistema\Tiempo de actividad del sistema)

Tipo de contador:	Tiempo transcurrido
Descripción:	Nos muestra el tiempo, en segundos, que el equipo lleva activo desde el último inicio/reinicio.
Medición:	Sus valores son acumulados hasta que se reinicia el sistema.
Uso:	Indicador primario de la disponibilidad del sistema.
Rendimiento:
Programación:
Que hace:	Informa de la disponibilidad del sistema.
Alerta de umbral:
Medidas relacionadas:	Process(n)\Elapsed Time (\Proceso(*)\Tiempo transcurrido)

Process(n)\Elapsed Time (\Proceso(*)\Tiempo transcurrido)

Tipo de contador:	Tiempo transcurrido
Descripción:	Nos muestra el tiempo, en segundos, que el proceso lleva activo desde el último inicio/reinicio.
Medición:	La instancia de proceso sólo existe durante un intervalo en el cual se encontró al proceso en ejecución al final del intervalo. Los valores son acumulados a través de intervalos medidos mientras el proceso se está ejecutando.
Uso:	Indicador primario de la disponibilidad de la aplicación. En el caso de servicios del sistema, comparándolo con System\System Up Time (\Sistema\Tiempo de actividad del sistema) nos servirá para determinar si la aplicación ha estado disponible continuamente desde que el equipo se inició/reinició.
Rendimiento:
Programación:
Que hace:	Informa de la disponibilidad del sistema.
Alerta de umbral:
Medidas relacionadas:	System\System Up Time (\Sistema\Tiempo de actividad del sistema)

Otras posibles mediciones que nos sirvan para ver la disponibilidad del sistema pueden ser los contadores: TCP\Connections Active (\TCPv4\Conexiones activas) y Server\Server Sessions (\Servidor\Sesiones del servidor), que indican el estado de la conectividad de red. Un sistema que está en ejecución y no puede comunicarse con otros equipos es más que probable que esté inutilizable. En caso de hosting web, habría que separar los contadores de FTP Service\FTP Service Uptime () y Web Service\Service Uptime ().

Configurar archivos seguimiento con Logman

juansa — Fri, 14 Aug 2009 09:33:55 GMT

También podemos usar Logman para generar los archivos de seguimiento de sucesos.

Sintaxis:

Comando de logman	Qué hace
create trace <nombre>	Crea una colección de consultas o de registro de contador o de sesión de seguimiento.
update <nombre>	Actualiza una colección existente modificando los parámetros.
delete <nombre>	Elimina una colección existente.
query <nombre>	Lista las colecciones definidas y su estado sin el <nombre> con él mostrará las propiedades de la colección especificada. Si es en equipos remotos añadiremos la opción –s.
query providers <proveedor>	Mostrará en pantalla una lista de los parámetros que pueden establecerse para el proveedor especificado, sus valores y descripciones de lo que habilitan. Esto depende del proveedor.
start <nombre>	Inicia una sesión manualmente.
stop <nombre>	Detiene una sesión manualmente.

Las colecciones creadas con Logman tienen las mismas propiedades de configuración que las creadas con el elemento de Alertas y registros de rendimiento, y desde el podemos ver cualquier colección que hayamos creado con Logman. Asimismo, si usamos el parámetro –query con Logman para ver una lista de colecciones en el equipo, también veremos los creados desde Alertas y registros de rendimiento.

El conmutador –ets se usa para establecer una sesión de seguimiento de sucesos interactiva. Sin él, Logman asume que la colección es programada. Cuando usamos –ets, Logman no verá ninguna configuración de sesión previamente guardada. Los parámetros se le pasan directamente a la sesión sin guardarse o programarse. Con el conmutador –ets podemos crear múltiples sesiones de seguimiento de sucesos por ventana de consola.

Un ejemplo de secuencia de comandos:

logman create trace "miseguimiento" –pf deIIS.txt –bs 64 –o miseguimiento.etl
logman start "miseguimiento" –ets
logman stop "miseguimiento" –ets

La sesión iniciada con el segundo comando NO es la única creada por el primero. El segundo comando iniciará la sesión miseguimiento con la configuración predeterminada ya que se ha especificado –ets sin otros argumentos. Sin embargo, este mismo comando no borrara la configuración guardada por el primer comando.

Por contra, si no se especifica –ets:

logman create trace "miseguimiento" –pf deIIS.txt –bs 64 –o miseguimiento.etl
logman start "miseguimiento"
logman stop "miseguimiento"

El segundo y tercer comando recuperan la configuración de la sesión guardada, inician y paran la sesión. Si observamos la secuencia ésta es como una sesión interactiva pero sin –ets, los comandos pasan por el servicio de programación, incluido su inicio/detención.

Proveedores

El subcomando –query providers nos permite determinar desde qué proveedores de seguimiento podemos reunir datos de seguimiento.

*Por supuesto si la aplicación o servicio asociado al proveedor no está activa en el equipo, el proveedor no está habilitado para recoger los sucesos correspondientes.

Algunos proveedores disponen de opciones adicionales que podemos seleccionar entre los sucesos que estos proveedores pueden seguir.

Parámetros de Logman para el seguimiento:

*Parámetro*	*Sintaxis*	*Función*	*Observaciones*
Activar proveedor(es) de seguimiento	-p {GUID} [(flags[,flags…])] Level \|	Proveedores a utilizar en la sesión.	Con –pf archivo para usar los de un archivo de configuración.
Tamaño búfer	-bf valor	Tamaño en KB del búfer de la sesión.	En caso de ocurrir sucesos más rápido que su guardado en disco y para evitar su pérdida, un tamaño grande de búfer será de gran ayuda.
Número de búferes	nb min max	Cantidad mínima/máxima de búferes para la sesión.	El mínimo predeterminado es el número de procesadores más 2 y como máximo 25.
Establecer opciones de modo de seguimiento	-mode [modo[modo…]]	El modo puede ser globalsequence, localsequence o pagedmemory.	La opción pagedmemory utiliza búferes de memoria paginable.
Resolución del reloj	-ct {system \| perf \| ciclo}	perf y ciclo usan 100 ns de temporizador contra un ms del reloj del sistema.	ciclo usa menos tiempo de proceso. perf proporciona una resolución de temporizador más exacto.
Creación e inicio de sesión de seguimiento	-ets	Iniciar una sesión usando los parámetros definidos en el símbolo del sistema para esta sesión.
Equipo	-s Equipo	Especifica el equipo del que se quieren recoger los contadores.	Si no se especifica se toma el equipo local.
Sesión en tiempo real	-rt	Muestra en pantalla los datos en tiempo real. No los guarda en ningún archivo.
Seguimiento en modo usuario	-ul	El seguimiento se realiza en modo usuario.	En este modo, un proveedor puede habilitarse para la sesión de seguimiento de sucesos.
Nombre archivo de salida	-o {Ruta \|	Se especifica el archivo de salida, si no existe, se crea.	Es obligatorio. Los archivos son en formato binario con la extensión *.etl.
Nombrado archivos	- v {NNNNNN \| MMDDHHMM}	Genera archivos con nombres únicos sea numerándolos consecutivamente o añadiendo la hora y la fecha al nombre.
Vaciado de búferes	-ft [[HH]:MM:]SS	Los búferes se vacían después del tiempo especificado.
Límite tamaño archivo	-max valor	Tamaño máximo del archivo o BD en MB.	El registro finaliza al alcanzar el tamaño.
LoggerName	ln LoggerName	Un nombre definido de usuario para la sesión.	Predeterminadamente este nombre es el de la colección.
Añadir	-a	Añade los datos de salida a un archivo existente.
Comienzo sesión	-b M/D/YYYY H:MM:SS [{AM \| PM}]	Inicia la sesión en la fecha y hora designada.
Fin de sesión	-e M/D/YYYY H:MM:SS [{AM \| PM}]	Finaliza la sesión en la fecha y hora designada.	Con –r se establece la duración de sesión.
duración	-rf [[HH:]MM:]SS	Finaliza la sesión pasado el tiempo especificado.	Con –e se establece la fecha y hora de finalización.
Repetir	-r	Repetición cada día a la misma hora. El periodo de tiempo se basa en alguna de las opciones –b con –rf, o –b con –e.	uso conjuntamente con las opciones –cnf, –v y –rc.
Inicio y detención de colección	-m [start] [stop]	Inicio y detención de la sesión interactiva manualmente.
Usuario y contraseña	-u usuario contraseña	Se especifica usuario y contraseña para acceso a equipo remoto.

Marcas de hora de suceso

Si las entradas de sucesos aparecen como fuera de hora, podemos necesitar usar un reloj de alta resolución. Algunas veces, si usamos la hora del sistema como reloj, la resolución (10ms) puede no ajustarse lo suficiente para ciertas secuencias de sucesos. Cuando un conjunto de sucesos muestran el mismo valor de marca de hora, el orden en que aparecen en el visor de sucesos no garantiza que sea en el mismo orden en que sucedieron. Si observamos que algo de esto está pasando, usaremos perf –que tiene una resolución más ajustada (100ns). Con Logman, el parámetro –ct perf obliga al uso del reloj perf.

Comprobación del límite de tamaño del archivo.

Si especificamos un límite de tamaño de archivo con la opción –max, el sistema de archivos en el que queremos crear el archivo de seguimiento lo evalúa antes de iniciar la sesión para ver si existe el espacio suficiente para ejecutar adecuadamente el seguimiento. Este límite de tamaño sólo se lleva a cabo cuando el archivo se almacena en la unidad del sistema. Si éste tuviera espacio insuficiente, la sesión fallará, apareciendo un error genérico de smlogsvc en el visor de sucesos.

Informes del seguimiento de sucesos.

Con Tracerpt.exe podemos convertir uno o más archivos *.etl al formato *.csv y ver su contenido.

tracerpt archivo.etl –o archivo.csv

Estos archivos podemos abrirlos con Excel y ver, secuencialmente, lo grabado.

Si se usa la opción –report con alguno de los proveedores, windows kernel trace, IIS, spooler o AD, se generan tablas adicionales en el informe que contienen los datos relacionados con un pre-formato. Por ejemplo:

tracerpt archivo.etc archivo2.etl –report archivo.html –f html

Investigación de eventos

juansa — Tue, 11 Aug 2009 09:22:23 GMT

En Windows disponemos de la posibilidad de seguimiento de eventos ETW (Event Tracing for Windows). Este seguimiento puede terminar en un informe relacionado a los eventos de rendimiento cuando estos ocurren, eventos como:

Cambios de contexto
Errores de página
Solicitudes E/S de archivo
Creación y finalización de procesos
Creación y finalización de hilos
Solicitudes de conexión, envíos y recepciones TCP.

Además, aplicaciones como IIS o el propio Directorio Activo también están preparados para ofrecernos un diagnóstico sobre el seguimiento de eventos. En IIS por ejemplo, el controlador HTTP, Inetinfo, filtro ISAPI, peticiones CGI e incluso peticiones ASP, que proporcionan eventos de inicio y fin de solicitudes específicas nos permiten seguir el camino seguido por una solicitud GET HTTP individual en diferentes etapas de su proceso por entre dichos componentes.

Seguimiento de eventos no sólo graba cuando ocurren los eventos, sino que también captura información especifica que puede usarse para identificar el propio evento y la aplicación que lo causa. Los eventos se registran en un archivo que podemos consultar. El seguimiento de eventos es una técnica que la podemos utilizar para diagnosticar problemas de rendimiento que no nos son fáciles de resolver mediante otras herramientas ya vistas.

Como gran beneficio tenemos a su gran precisión. Podemos saber exactamente que ha pasado y cuando. Aunque en su contra hay inconvenientes que debemos conocer. Uno de los inconvenientes es la posibilidad de que se generen cantidades de datos muy grandes y que complican su propio análisis. Otro es que un análisis manual resulta complejo, aunque Windows Server 2003 incluye una herramienta llamada tracerpt.exe que simplifica la cosa. Si deseamos conocer un contador solamente de entre muchos eventos, lo normal sería usar el monitor del sistema, si por el contrario, necesitamos entender con detalle la secuencia de eventos asociados a un problema de rendimiento, entonces usar Seguimiento de eventos, que nos proporcionará una extensa variedad de eventos de sistema y aplicaciones.

Investigar datos en Windows Server 2003 se compone de recoger y reunirlos usando sesiones de registro que los graben en un archivo. Podemos crear y administrar las sesiones de seguimiento con Log manager. Contamos además con los registros de seguimiento facilitados por Alertas y registros de rendimiento en la consola de Rendimiento que nos ofrece ciertas facilidades interactivas para definir sesiones de seguimiento de eventos, iniciarlas o detenerlas. Aunque estas facilidades interactivas no sean más que un subconjunto de opciones de definición de seguimiento de las que dispone Logman. Logman tiene además la ventaja que puede usarse junto a scripts para automatizar todos los aspectos del registro de seguimiento de eventos. Tracerpt.exe formatea los datos y proporciona varios informes integrados.

En una sesión de seguimiento, nos comunicamos con los proveedores de datos de seguimiento seleccionados que son los responsables de informar siempre que ocurran los eventos. Cuando un evento ocurre, el proveedor devuelve información sobre el mismo evento a la sesión de seguimiento, normalmente el servicio de Alertas y registros de rendimiento y éste a su vez graba una entrada en el archivo de registro.

Los registros de seguimiento se guardan en formato binario y con la extensión *.etl. Podemos usar archivos de seguimiento circular o secuencial. Y como con los registros de contadores podemos establecer su límite de tamaño. Cuando un archivo circular alcanza el límite establecido el registro de eventos sigue, desde el inicio del archivo y reemplazando los datos antiguos, en uno secuencial la sesión de seguimiento finaliza.

Luego, para ver los archivos de una forma aceptable necesitamos una herramienta de análisis como Tracerpt.exe que procesa el archivo de registro de salida y transforma los datos binarios en CSV (separado por comas). Disponemos también de informes usando la opción –report de tracerpt.

Alertas y registros de rendimiento

Cuando abrimos el monitor de rendimiento observamos en el árbol del panel izquierdo la función de Alertas y registros de rendimiento y de ella cuelgan tres componentes: registros de contador, registros de seguimiento y alertas.

Podemos crear registros de seguimiento desde aquí cuando queramos, con capacidades similares a las que hay disponibles para los registros de contador, como:

Administrar múltiples sesiones de registro de seguimiento desde una única consola(Aunque podemos tener definidas muchísimas más sesiones, hay un límite de 32 activas simultáneamente).
Iniciar y detener manualmente, bajo demanda, automáticamente o programando el horario de cada registro de las sesiones.
Detener cada registro según el tiempo transcurrido o del tamaño actual del archivo.
Especificar esquemas de nombrado automático e indicar un programa que se ejecutará cuando un registro de seguimiento se detiene.

El proceso del servicio de Alertas y registros de rendimiento Smlogsvc.exe es el responsable de ejecutar las funciones del registro de seguimiento que hayamos definido.

Configurar un registro de rendimiento

Pulsamos en Registros de seguimiento en la consola (ver imagen anterior), en el panel derecho se nos mostrarán, si las hubiesen, las ya definidas.
Clic derecho sobre el panel, el menú contextual nos muestras dos opciones de creación de nuevos registros:
Se nos pide un nombre para el registro:

y se muestra el cuadro de configuración.
Elegiremos entre los eventos del proveedor del sistema o de alguno de los proveedores de aplicación disponibles. Clic en el botón de Estado de proveedores para ver aquéllos proveedores específicos que están instalados en el equipo.
Pasaremos por el resto de pestañas: Archivos de registro, Programación y Avanzadas para establecer las diferentes opciones.

Los proveedores de eventos

Los proveedores de eventos son los responsables del envío de información sobre un evento al servicio de alertas y registro de rendimiento en cuanto ocurre. De forma predeterminada, en la pestaña General, la opción Proveedores que no son de sistema está marcada para mantener el registro de seguimiento por encima de un mínimo. Pulsaremos en el botón Agregar para incluir datos desde estos proveedores en el registro de seguimiento. Entre los proveedores de aplicaciones están Active Directory, MMQ, IIS, y la cola de impresión.

Si pulsamos en Sucesos registrados por el proveedor del sistema, se usa un proveedor compilado para eventos del kernel de Windows para monitorizar los procesos, hilos y otras actividades. Marcaremos las casillas que deseamos definir para el seguimiento.

*Creación /eliminación de procesos y/o subprocesos.

*E/S de disco

*TCP/IP de red

*Errores de página

*Detalles de archivo

Antes de conectar el seguimiento de una clase de suceso debemos tener claro el impacto sobre el rendimiento que causará. Si queremos hacer una prueba, con el monitor del sistema podemos seguir algunos contadores que usen sucesos que el proveedor del kernel pueda seguir durante varios minutos, comprobaremos entonces el tamaño de los archivos producidos y el sobreuso consumido por el seguimiento, que será proporcional a los sucesos ocurridos.

\Sistema\Operaciones de lectura de archivo/s (\System\File Data Operations/sec)

\Sistema\Operaciones de control de archivo/s (\System\File Control Operations/sec)

\Memoria\Errores de página/s (\Memory\Page faults/sec)

\TCPv4\Segmentos/s (\TCPv4\Segments/sec)

Configuración de las propiedades del registro

Las hojas de propiedades nos permiten establecer el seguimiento automatizado. Las opciones de archivo y programación son similares a las disponibles para registro de contadores. La pestaña de archivos de registro se usa para seleccionar el tipo de archivo y las opciones de nombrado automático. En la de programación podremos escoger las opciones de inicio manual o automático, establecer la hora en la que queremos que termine la sesión, determinando una hora o especificando una duración en segundos, minutos, horas, o días; o también indicando que se detenga cuando el archivo de registro alcance su tamaño límite especificado.

Pestaña	Configuración	Notas
General	Selección de proveedores Cuenta y contraseña.	Podemos reunir datos desde el equipo local únicamente. Configura los sucesos del proveedor del sistema. Podemos usar Ejecutar como (Run As) para proporcionar usuario y contraseña en caso de equipos remotos.
Archivos de registro	Tipo de archivo. Nombrado automático.	Los archivos de seguimiento son archivos binarios con la extensión *.etl. Podemos seleccionar o binarios circulares –cuando llegan al final comienzan de nuevo por el principio del archivo sobrescribiendo los existentes-, o binarios secuenciales. Configuración de ubicación, nombre y tamaño de archivo. Podemos elegir una secuencia de números a añadir o la hora y la fecha, para identificar al archivo.
Programación	Métodos de inicio/detención manual o automáticos. Horas de inicio/detención automáticos. Detención automática cuando el archivo alcanza su límite de tamaño. Proceso cuando el archivo se cierra.	Podemos especificar que se detenga la recogida de datos cuando el archivo esté lleno. Inicio y detención según la hora del día, o especificar la hora de inicio y su duración. En casos de recogida de datos continua, iniciar un archivo nuevo en cuanto el archivo se cierra. También podemos iniciar automáticamente la ejecución de un comando al cerrarse el archivo.
Avanzada	Tamaño de búfer. Búferes mínimos y máximos. Transferencia de datos desde el búfer al archivo de registro.	Aumentar el número de búferes en caso de seguimiento de demasiados sucesos. El tiempo máximo en segundos, que las entradas de seguimiento se mantienen en memoria sin transferirse al archivo de seguimiento en el disco.

¿Cómo obtienen los datos las herramientas de rendimiento?

juansa — Mon, 03 Aug 2009 18:31:54 GMT

Monitor del sistema, alertas y registros de rendimiento, Logman, Relog y Typeperf, todas sacan información de alguna parte: usando librerías dinámicas como intermediarias, las PDH(Performance Data Helper). Cada una de las herramientas citadas colecta contadores usando el interfaz PDH, luego es responsable ella misma de realizar los cálculos de conversión de los datos de los intervalos de contadores y de formatearlos para generar informes y archivos de salida.

Las *dll de rendimiento (Perflib) proporcionan los datos para todas las medidas de los contadores en el monitor del sistema. El sistema operativo provee de un conjunto básico de librerías de rendimiento para monitorizar el comportamiento de los recursos, como la memoria, procesador, discos, adaptadores de red y protocolos. Por supuesto hay muchas otras aplicaciones y servicios dentro de Windows Server 2003 que proporcionan sus propias *dll que instalan contadores y que podemos usar para montorizar sus operaciones. Todas estas librerías instaladas en el equipo están registradas en las sub-claves de Performance bajo la clave HKLM\SYSTEM\CurrentControlSet\Services\nombre_del_servicio.

Library	Archivo y ruta de la *.dll
Open	Punto de entrada para la rutina a llamar cuando se inicie una sesión.
Open Timeout	El tiempo que esperará para llamar a la rutina de Open antes de caducar.
Collect	Punto de entrada para llamar a cualquier intervalo de muestra para recuperar datos del contador.
Collect Timeout	El tiempo de espera antes de caducar la llamada a la rutina Collect.
Close	Punto de entrada para la rutina de cierre a llamar para limpieza antes de terminar.

Estos campos se usan por las rutinas PDH para cargar las *.dll, inicializarlas para su uso en la recogida de datos de rendimiento y cerrarlas cuando la sesión termina.

Para ahorrar espacio en el registro, las variables REG_MULTI_SZ de texto grandes que componen nombres y texto explicativo de los contadores de rendimiento se guardan en archivos de cadenas de texto fuera del registro. Estos archivos están mapeados dentro del registro, como si fuesen claves normales para usuarios y aplicaciones. Los archivos son:

%windir%\system32\perfc009.dat
%windir%\system32\perfh009.dat

Al guardarlos separadamente se indica el ID del lenguaje del país: 09 = inglés, 0A=español,…

El proceso de PDH al ser requerido por una aplicación de monitorización de rendimiento sería:

PDH accede a los archivos perfc00A.dat y perfh00A.dat (si el lenguaje es el español) que contiene el texto que define los objetos de rendimiento y los nombres de los contadores instalados en el equipo, junto con sus textos explicativos asociados.
PDH realiza inventario de la clave HKLM\SYSTEM\CurrentControlSet\Services\nombre_del_servicio\ para determinar que *.dll de Perflib están disponibles en el equipo.
Para cada clave hallada, PDH carga la *.dll Perflib.
Después de la carga de *.dlls, PDH llama a la rutina Open. La rutina devuelve la información que describe los objetos y contadores que la *.dll soporta. La aplicación de monitorización podrá usar esta información para montar un menú de selección de objetos y contadores como el formulario Añadir contadores del monitor del sistema.
En el primer intervalo de muestra, PDH llama a la rutina Collects para reunir los contadores de rendimiento, la aplicación puede realizar llamadas PDH adicionales para formatear estos contadores para mostrarlos por pantalla.
Cuando termina, PDH llama a la rutina Close para todas las Perflibs activas hasta que finalizan su procesamiento con corrección.

El procesamiento PDH oculta la mayoría de detalles de estos pasos en aplicaciones de monitorización, como el monitor del sistema y Log manager. La herramienta Extensible Counter List (exctrlst.exe, incluida en las Windows Support Tools de Windows Server 2003) ilustra el paso 2 del procesamiento. Si la iniciamos desde el símbolo del sistema (escribiendo exctrlst en una cmd) obtenemos:

Es decir, un completo inventario de librerías de rendimiento (DLLS) registradas en el equipo.

* Si una llamada a una función Perflib falla o devuelve error, las rutinas PDH añaden un campo opcional a la sub-clave Disable Performance Counters. Se genera un mensaje de error en el registro de eventos si PDH halla un error. Si se establece un marcador en la sub-clave, las rutinas PDH no intentarán cargar, ni recoger datos desde dicha librería hasta que se resuelva el fallo y se eliminen los marcadores mediante la herramienta Extensible Counter List siempre mejor que editando el registro.

* Aún así, disponemos de entradas en el registro en HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Perflib que pueden ayudarnos cuando suframos problemas dentro de las *.dll.

Typeperf: Desde el símbolo de comando

juansa — Fri, 31 Jul 2009 08:24:00 GMT

Una vez conocidos los contadores de rendimiento instalados en el equipo, podemos monitorizar el rendimiento. Para ello, iniciaremos Typeperf seguido de una lista de contadores, por ejemplo:

Typeperf "Memoria\Bytes disponibles"

*El sistema que yo uso es en español.

Typeperf comienza de inmediato la monitorización de los bytes disponibles de memoria y los va mostrando en la ventana en tiempo real; continuará hasta que usemos la secuencia de teclas CRTL+C para finalizar la sesión.

Si queremos monitorizar más de un contador sólo tenemos que añadirlos entrecomillados siguiendo al anterior,

Typeperf "Memoria\Bytes disponibles" "Memoria\Bytes de caché" "Memoria\Páginas/s"

Como alternativa, podemos tener las rutas en un archivo y referenciarlo en el comando usando el parámetro –cf, parecido a Relog.

Si queremos hacerlo a equipos remotos:

Typeperf "\\Equipo\Memoria\Bytes disponibles" o, Typeperf "Memoria\Bytes disponibles" –s Equipo

De forma predeterminada las medidas o muestras de los datos de rendimiento son de una vez por segundo hasta que se pulsa CRTL+C.

Nosotros no podemos hacer que el comando se ejecute durante dos horas y se detenga (al menos desde sus parámetros), pero si podemos especificar el número de muestras o medidas a tomar durante su sesión, alcanzado dicho número se cerrará. Para ello utilizaremos el parámetro –sc seguido del número, por ejemplo si queremos 100 muestras:

Typeperf "Memoria\Bytes disponibles" –sc 100

Lo que supone 100 segundos.

También podemos modificar la frecuencia de muestreo, sabemos que es una por segundo, 86400 en un día. Así que para hacerlo usaremos el parámetro –si seguido del nuevo muestro en segundos, si lo queremos cada 5 minutos entonces 5*60=300:

Typeperf "Memoria\Bytes disponibles" –si 300

Y finalmente un par de cuestiones: dirigir la salida hacia un archivo de registro y/o cambiar el formato del mismo.

Redirigir la salida puede hacerse, como siempre hemos hecho desde el propio símbolo del sistema:

Typeperf "Memoria\Bytes disponibles" > ruta\nombre_archivo

o, y mejorándolo creo, usar el parámetro del comando –o junto al –f y así redirigir y establecer el formato del archivo de salida.

Typeperf "Memoria\Bytes disponibles" -o ruta\nombre_archivo.extension –f tipo_formato

Donde extensión irá en consonancia(*.csv, *.tsv, *.log) con el tipo_formato (bin, csv, tsv, SQL)