Event Tracing for Windows(ETW) - 事件跟踪下控制器与会话 译(6)

最新推荐文章于 2024-05-25 09:43:35 发布
最新推荐文章于 2024-05-25 09:43:35 发布
阅读量444 收藏
点赞数
文章标签: Windows C++ ETW
原文链接:https://docs.microsoft.com/en-us/windows/win32/etw/controlling-event-tracing-sessions
版权

Controlling Event Tracing Sessions

原文链接
作者:Microsoft
译者:塔塔塔塔塔

Session 记录来自一个或多个Provider的Event。Controller定义Session并启用Provider。定义Session通常包括指定Session名字和日志文件,及要使用的日志文件的类型以及用于记录Event的时间戳的分辨率(resolution of the time stamp)。控制器还可以更新和查询Session。

以下主题演示了如何定义和更新Session以及启用Providers:

  • 配置和启动Session
  • 配置和启动操作系统的Provider所使用的 Session
  • 配置和启动自动记录器 Session
  • 配置和启动私有记录器 Session
  • 更新Session
  • 检索其他Session

有关刷新和查询Session的信息,请分别参见ControlTraceQueryAllTraces

只有以提升的管理特权运行的用户,“性能日志用户”组中的用户以及以LocalSystem,LocalService或NetworkService运行的应用程序可以控制事件跟踪会话。要授予受限用户控制跟踪会话的能力,请将其添加到“Performance Log Users ”组。在这里插入图片描述

Windows XP和Windows 2000:任何人都可以控制跟踪会话。

要努力闪光的人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Malware Dev 04 - 隐匿之 ETWEvent Tracing for Windows)Bypass
0pr
03-06 1969
这篇文章通过对 clr.dll,advapi32.dll,以及 ntdll.dll 的简单逆向,解析了 ETWEvent Tracing for Windows)的整体调用链。之后,我们介绍了两种 ETW 的绕过方式。一种是 patch EtwEventWrite 方法,另一种是 patch NtTraceEvent 方法。同时,配合 SilkETW,我们对两种绕过方式进行了成功验证。
关闭win2003事件跟踪程序
08-01
Windows Server 2003操作系统中,事件跟踪Event Tracing)是系统用来记录应用程序、服务和系统组件运行情况的重要工具。它收集并存储诊断信息,这些信息对于故障排除和系统性能分析非常有价值。然而,在某些情况...
(ETW) Event Tracing for Windows 入门 (含pdf下载)
weixin_34126557的博客
05-30 509
  内容提纲 • ETW 介绍 • ETW 使用 • ETW 监控本机Demo • ETW 监控远程机器的思路 • 底层类库:EventSource 介绍 • 底层类库:TraceEvent 介绍 ETW 是什么? 1.Event Tracing for Windows (ETW):是由操作系统提供的一种通用的,系统开销较低(与性能日志和警报相比)的事件追踪手段,用以监控具有负载...
探索Windows事件追踪:ETW库的全面解析与应用
最新发布
gitblog_00053的博客
05-25 501
探索Windows事件追踪:ETW库的全面解析与应用 项目地址:https://gitcode.com/fireeye/pywintrace 1、项目介绍 在Windows操作系统中,Event Tracing for WindowsETW)是一个强大的日志记录工具,它允许开发者记录事件并存储到文件或缓冲区中。这个系统级的服务提供了一个灵活的架构,包括提供者、控制器和消费者三个部分。现在,有一个...
Event Tracing for Windows(ETW) - 配置并开始事件跟踪会话 (7)
勿以恶小而为之,勿以善小而不为
05-14 1074
Configuring and Starting an Event Tracing Session\ 原文链接 作者:Microsoft 者:塔塔塔塔塔 配置Session,使用EVENT_TRACE_PROPERTIES结构体指定Session的属性。为EVENT_TRACE_PROPERTIES结构体分配的内存必须足够大,以包含结构下的的Session和日志文件名。 指定Session的属性后,调用StartTrace函数以启动Session。如果该函数成功,则SessionHandle参数将包含Se
Event Tracing for Windows(ETW) - 进行事件跟踪 (3)
勿以恶小而为之,勿以善小而不为
05-13 2288
About Event Tracing 原文链接 作者:Microsoft 者:塔塔塔塔塔 ETW是高性能的内核级跟踪工具,它让我们记录内核或应用定义的事件到一个日志文件。你可以是实时或从日志文件中使用Event去调试应用程序或确定应用程序的性能问题的位置。 ETW可以让我们来动态的Enable 或Disable事件跟踪,从而在生产环境执行详细的跟踪而不需要重启电脑或应用程序。 事件跟踪分为三个部分: Controllers,开启和停止Event Tracing Session 和 Enable Pro
Event Tracing for Windows(ETW) - 代码示例:创建会话和启动基于清单的提供者 (8)
勿以恶小而为之,勿以善小而不为
05-14 732
Example that Creates a Session and Enables a Manifest-based or Classic Provider 原文链接 作者:Microsoft 者:塔塔塔塔塔 以下示例显示了如何启动跟踪会话,启用基于清单的提供程序或经典提供程序,禁用提供程序然后停止会话。 #include <windows.h> #include <stdio.h> #include <conio.h> #include <strsafe.h&
Event Tracing for Windows(ETW) - 事件跟踪的新特性 (2)
勿以恶小而为之,勿以善小而不为
05-12 456
What’s New in Event Tracing 这部分描述Windows各个版本下的ETW所添加的特性。 Windows 10, version 1709 ETW 现在可以让所有Providers在Enable Sessicon时选择跟做二进制文件。 The tracking applies retroactively for providers that were enabled to the session prior to the call, as well as for all future
Event Tracing for Windows(ETW) - 事件跟踪会话 (4)
勿以恶小而为之,勿以善小而不为
05-13 483
Event Tracing Sessions 原文链接 作者:Microsoft 者:塔塔塔塔塔 Controller启用Event Tracing Session从一个或多个Provider记录EventSession还负责管理和刷新缓冲区。Controller定义会话,包括指定Session和日志文件名,要使用的日志文件的类型以及用于记录Event的时间戳的Resolution(?)。 Event Tracing最多支持同时执行64个Session。在这些Sessions中,有两个特殊目的Sessi
Event Tracing for Windows
weixin_30879169的博客
08-28 145
1 create and write the manifest.xml代码<instrumentationManifestxmlns="http://schemas.microsoft.com/win/2004/08/events"><instrumentationxmlns:xs="http://www.w3.org/2001/XMLSchema"xmln...
Event Tracing For Windows
weixin_30488313的博客
09-29 183
https://blogs.msdn.microsoft.com/oanapl/2009/08/04/etw-event-tracing-for-windows-what-it-is-and-useful-tools/ https://www.codeproject.com/articles/570690/application-analysis-with-event-tracing-for-w...
Event Tracing for Windows(ETW) - 使用事件跟踪 (5)
勿以恶小而为之,勿以善小而不为
05-13 378
Using Event Tracing 原文链接 作者:Microsoft 者:塔塔塔塔塔 下面主题描述了如何使用ETW API进行事件跟踪。 主题 描述 控制 事件跟踪Session 描述如何管理事件跟踪会话 提供 Event 描述如何注册和检测一个Event Trace Provider 消耗 Event 描述如何实现用于从跟踪日志文件或实时使用和处理事件的回调函数 Windows Software Trace Preprocessor 提供一种有效的机制来记录和使用在应
10046事件跟踪会话sql
weixin_34336526的博客
12-20 96
背景知识: 10046 事件按照收集信息内容,可以分成4个级别: Level 1: 等同于SQL_TRACE 的功能 Level 4: 在Level 1的基础上增加收集绑定变量的信息 Level 8: 在Level 1 的基础上增加等待事件的信息 Level 12:等同于Level 4+Level 8, 即...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值