ID d'événement Windows 8216 – Kernel-EventTracing : Échec du démarrage de la session ETW

Commencez par examiner l'utilisation actuelle des sessions ETW pour identifier les contraintes de ressources potentielles ou les conflits.

1. Ouvrez une session PowerShell avec élévation de privilèges et vérifiez les sessions ETW actives :

Get-EtwTraceSession | Select-Object SessionName, LogFileName, MaximumFileSize, BufferSize | Format-Table -AutoSize

2. Vérifiez le nombre total de sessions actives par rapport à la limite du système :

$sessions = Get-EtwTraceSession
Write-Host "Sessions ETW actives : $($sessions.Count)"
Write-Host "Le système prend en charge jusqu'à 64 sessions simultanées"

3. Identifiez les sessions consommant des ressources excessives :

Get-EtwTraceSession | Where-Object {$_.BufferSize -gt 1024} | Select-Object SessionName, BufferSize, LogFileName

4. Naviguez vers Observateur d'événements → Journaux des applications et des services → Microsoft → Windows → Kernel-EventTracing → Admin pour examiner les événements ETW associés et identifier la session spécifique qui n'a pas pu démarrer.

Les enregistrements de fournisseurs ETW corrompus peuvent empêcher la création de sessions. Vérifiez et réparez les enregistrements des fournisseurs.

1. Vérifiez les enregistrements des fournisseurs ETW dans le registre :

Get-ChildItem "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers" | Select-Object Name | Measure-Object

2. Vérifiez l'intégrité de l'enregistrement d'un fournisseur spécifique :

logman query providers | Select-String "Microsoft-Windows-Kernel"

3. Réenregistrez les fournisseurs ETW si une corruption est détectée :

wevtutil el | ForEach-Object {wevtutil gli $_}

4. Vérifiez l'enregistrement du manifeste du fournisseur ETW :

Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\*" | Where-Object {$_.PSChildName -like "*Kernel*"}

5. Si une corruption du fournisseur est trouvée, reconstruisez la base de données des fournisseurs ETW en exécutant :

sfc /scannow

La création de session ETW nécessite des privilèges spécifiques. Identifiez le processus demandeur et vérifiez ses autorisations.

1. Activez le suivi des processus pour identifier quel processus tente de créer la session ETW :

auditpol /set /subcategory:"Process Creation" /success:enable

2. Vérifiez le journal de sécurité pour les événements de création de processus autour de l'heure de l'événement 8216 :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688; StartTime=(Get-Date).AddHours(-1)} | Select-Object TimeCreated, @{Name='ProcessName';Expression={$_.Properties[5].Value}}

3. Vérifiez que le processus demandeur dispose des privilèges nécessaires :

whoami /priv | Select-String "SeSystemProfilePrivilege\|SeDebugPrivilege"

4. Vérifiez si le processus s'exécute avec une élévation suffisante en examinant le jeton :

Get-Process | Where-Object {$_.ProcessName -like "*monitoring*" -or $_.ProcessName -like "*trace*"} | Select-Object ProcessName, Id, @{Name='Elevated';Expression={(Get-Process -Id $_.Id).StartInfo.Verb -eq 'runas'}}

5. Si le problème est lié aux autorisations, assurez-vous que les applications de surveillance sont lancées avec des privilèges administratifs ou configurez-les pour qu'elles s'exécutent en tant que service avec les autorisations appropriées.

Lorsque les sessions ETW deviennent corrompues ou conflictuelles, réinitialiser l'infrastructure ETW peut résoudre des problèmes persistants.

1. Arrêtez toutes les sessions ETW non essentielles pour éliminer les conflits potentiels :

Get-EtwTraceSession | Where-Object {$_.SessionName -notlike "*NT Kernel Logger*" -and $_.SessionName -notlike "*EventLog*"} | Stop-EtwTraceSession

2. Effacez les entrées de registre des sessions ETW pour les sessions orphelines :

Remove-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\WMI\Autologger\*" -Name "*" -ErrorAction SilentlyContinue

3. Redémarrez le service de journal des événements Windows pour réinitialiser l'infrastructure ETW :

Restart-Service -Name "EventLog" -Force

4. Vérifiez que l'infrastructure ETW fonctionne correctement :

logman create trace TestETW -p Microsoft-Windows-Kernel-General
logman start TestETW
logman stop TestETW
logman delete TestETW

5. Vérifiez le journal des événements système pour confirmer qu'aucun nouvel événement 8216 n'est généré :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=8216; StartTime=(Get-Date).AddMinutes(-10)} -ErrorAction SilentlyContinue

Pour des problèmes persistants, effectuez une analyse approfondie de l'infrastructure ETW et des échecs de création de session.

1. Activez la traçabilité ETW détaillée pour le fournisseur de traçage d'événements du noyau :

logman create trace ETWDiag -p Microsoft-Windows-Kernel-EventTracing -o C:\temp\etwdiag.etl -ets

2. Reproduisez le problème qui déclenche l'ID d'événement 8216, puis arrêtez la trace :

logman stop ETWDiag -ets

3. Analysez le fichier de trace à l'aide de Windows Performance Analyzer (WPA) ou tracerpt :

tracerpt C:\temp\etwdiag.etl -o C:\temp\etwreport.xml -of XML

4. Examinez la configuration de la session ETW dans le registre pour détecter des anomalies :

Get-ChildItem "HKLM:\SYSTEM\CurrentControlSet\Control\WMI" -Recurse | Where-Object {$_.Name -like "*AutoLogger*"} | Get-ItemProperty

5. Vérifiez les problèmes de système de fichiers affectant les fichiers journaux ETW :

Get-ChildItem "C:\Windows\System32\LogFiles\WMI" -ErrorAction SilentlyContinue | Where-Object {$_.Length -eq 0 -or $_.LastWriteTime -lt (Get-Date).AddDays(-30)}

6. Si une corruption est détectée, reconstruisez le référentiel WMI qui peut affecter ETW :

winmgmt /salvagerepository
winmgmt /resetrepository