Event Tracing for Windows(ETW) - 配置并开始事件跟踪的会话 译(7)

最新推荐文章于 2024-05-25 09:43:35 发布
最新推荐文章于 2024-05-25 09:43:35 发布
阅读量1k 收藏 2
点赞数
分类专栏: 记录 文章标签: Windows ETW C++
原文链接:https://docs.microsoft.com/en-us/windows/win32/etw/configuring-and-starting-an-event-tracing-session
版权

Configuring and Starting an Event Tracing Session

原文链接
作者:Microsoft
译者:塔塔塔塔塔

配置Session,使用EVENT_TRACE_PROPERTIES结构体指定Session的属性。为EVENT_TRACE_PROPERTIES结构体分配的内存必须足够大,以包含结构下的的Session和日志文件名。

指定Session的属性后,调用StartTrace函数以启动Session。如果该函数成功,则SessionHandle参数将包含Session的句柄,而LoggerNameOffset属性将包含Session名称的偏移量。

想要启用Providers将事件记录到Session,调用EnableTrace函数启用Classic Providers,调用EnableTraceEx功能启用Manifest Providers,供应商。若要启用要在Windows 8.1,Windows Server 2012 R2和更高版本上的特定条件下将Event记录到Session 的Provider,请调用EnableTraceEx2函数。

此外,您还可以通过调用TraceSetInformation函数来跟踪Event的其他信息。TraceSetInformation将其他跟踪信息放入Event的扩展数据部分,并且可以包括诸如跟踪版本信息或当前在系统上注册了哪些Provider之类的信息。有关更多信息,请参见Retrieving Additional Event Tracing Data

最多八个Session可以启用和接收来自同一个Manifest Providers的Event。只能一个Session可以启用Classic Provider。如果多个Session尝试启用Classic Provider,则当第二个SessionB启用Classic Provider时,第一个SessionA将停止接收Event。例如,如果SessionA启用了Classic Provider1,然后SessionB启用了Classic Provider1,则只有SessionB会从Classic Provider1接收事件。

您可以使用这三个功能中的任何一个来启用Provider,但是如果您使用EnableTrace来启用 Manifest Provider,则可能会失去一些功能,因为您将无法提供MatchAllKeyword值,无法指定事件中要包含的扩展数据项,或提供Provider定义的过滤器数据。有关更多信息,请参见每个功能的“备注”部分。

在Windows 8.1,Windows Server 2012 R2和更高版本上,使用Event payload,scope, and stack walk filters 需要通过使用EnableTraceEx2函数通过ENABLE_TRACE_PARAMETERS和EVENT_FILTER_DESCRIPTOR结构体,在Logger Session中进行特定条件筛选,有关Event payload 的更多信息,请参见TdhCreatePayloadFilter和TdhAggregatePayloadFilters函数以及ENABLE_TRACE_PARAMETERS,EVENT_FILTER_DESCRIPTOR和PAYLOAD_FILTER_PREDICATE结构体。

确定Level和Keywords用于启用Manifest Provider,请使用以下命令之一:

  • Logman query provider-name
  • Wevtutil gp provider-name

这些命令仅列出级别和关键字,Provider必须记录潜在控制器的所有过滤器数据要求。

列举出Manifest Provider,请使用Wevtutil ep。

对于Classic Provider,Provider应自行记录并向potential controllers提供严重等级或启用其支持的标志。如果提供者希望由任何Controller启用,则Provider应接受0作为严重等级并启用标志,并将0解释为执行默认日志记录的请求(无论如何)。

您可以在Provider注册自己之前或之后启用Provider。启用Provider后,ETW将调用Provider的回调函数。如果未注册Provider,则ETW在注册自身后将调用Provider的回调函数。

可以使用EnableTrace函数停用Provider(停止将Event记录到会话中)或更新日志记录级别 或启用Provider的标志。使用EnableTraceEx函数,您可以禁用Provider或更新级别,关键字,扩展数据和过滤器数据。每次调用EnableTrace或EnableTraceEx函数时,ETW都会调用Provider的回调函数。在会话禁用Provider之前,该Provider将保持对Sesion的启用状态。

要在收集Event后停止Session,调用ControlTrace函数并传递EVENT_TRACE_CONTROL_STOP作为控制代码。若要指定要停止的Session,可以从之前StartTrace函数返回的Session 句柄调,或者将先前启用的Session的名称传递给该函数。在停止Session之前,请确保停用所有 Provider。如果在停用Provider之前停止了Session,则ETW将禁用 Provider并尝试调用Provider的控制回调函数。如果启动Session的应用程序结束前没有禁用Provider或不调用ControlTrace函数的情况下,Provider将保持启用状态。

如果ControlTrace函数成功,则将更新会话属性到最终的属性值并运行事件跟踪会话的统计信息。

有关启动事件跟踪会话的示例,请参见以下内容:

Example that Creates a Session and Enables a Manifest-based Provider 启用Manifest Provider,停用Manifest Provider,然后停止该Session。

要努力闪光的人
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关闭win2003事件跟踪程序
08-01
Windows Server 2003操作系统中,事件跟踪Event Tracing)是系统用来记录应用程序、服务和系统组件运行情况的重要工具。它收集并存储诊断信息,这些信息对于故障排除和系统性能分析非常有价值。然而,在某些情况...
Windows Performance Analyzer.zip
08-14
- **事件轨迹:** WPA可以分析系统中的ETWEvent Tracing for Windows事件,帮助开发者和系统管理员了解系统运行过程中的详细行为。 - **图形化展示:** 它提供了丰富的图表和时间线视图,以直观的方式展示性能...
(ETW) Event Tracing for Windows 入门 (含pdf下载)
weixin_34126557的博客
05-30 509
  内容提纲 • ETW 介绍 • ETW 使用 • ETW 监控本机Demo • ETW 监控远程机器的思路 • 底层类库:EventSource 介绍 • 底层类库:TraceEvent 介绍 ETW 是什么? 1.Event Tracing for Windows (ETW):是由操作系统提供的一种通用的,系统开销较低(与性能日志和警报相比)的事件追踪手段,用以监控具有负载...
探索Windows事件追踪:ETW库的全面解析与应用
最新发布
gitblog_00053的博客
05-25 496
探索Windows事件追踪:ETW库的全面解析与应用 项目地址:https://gitcode.com/fireeye/pywintrace 1、项目介绍 在Windows操作系统中,Event Tracing for WindowsETW)是一个强大的日志记录工具,它允许开发者记录事件并存储到文件或缓冲区中。这个系统级的服务提供了一个灵活的架构,包括提供者、控制器和消费者三个部分。现在,有一个...
Event Tracing for Windows(ETW) - 事件跟踪下控制器与会话 (6)
勿以恶小而为之,勿以善小而不为
05-14 444
Controlling Event Tracing Sessions 原文链接 作者:Microsoft 者:塔塔塔塔塔 Session 记录来自一个或多个Provider的Event。Controller定义Session并启用Provider。定义Session通常包括指定Session名字和日志文件,及要使用的日志文件的类型以及用于记录Event的时间戳的分辨率(resolution of the time stamp)。控制器还可以更新和查询Session。 以下主题演示了如何定义和更新Sessi
Event Tracing for Windows(ETW) - 事件跟踪会话 (4)
勿以恶小而为之,勿以善小而不为
05-13 483
Event Tracing Sessions 原文链接 作者:Microsoft 者:塔塔塔塔塔 Controller启用Event Tracing Session从一个或多个Provider记录Event。Session还负责管理和刷新缓冲区。Controller定义会话,包括指定Session和日志文件名,要使用的日志文件的类型以及用于记录Event的时间戳的Resolution(?)。 Event Tracing最多支持同时执行64个Session。在这些Sessions中,有两个特殊目的Sessi
Event Tracing for Windows(ETW) - 进行事件跟踪 (3)
勿以恶小而为之,勿以善小而不为
05-13 2286
About Event Tracing 原文链接 作者:Microsoft 者:塔塔塔塔塔 ETW是高性能的内核级跟踪工具,它让我们记录内核或应用定义的事件到一个日志文件。你可以是实时或从日志文件中使用Event去调试应用程序或确定应用程序的性能问题的位置。 ETW可以让我们来动态的Enable 或Disable事件跟踪,从而在生产环境执行详细的跟踪而不需要重启电脑或应用程序。 事件跟踪分为三个部分: Controllers,开启和停止Event Tracing Session 和 Enable Pro
Event Tracing for Windows(ETW) - 代码示例:创建会话和启动基于清单的提供者 (8)
勿以恶小而为之,勿以善小而不为
05-14 731
Example that Creates a Session and Enables a Manifest-based or Classic Provider 原文链接 作者:Microsoft 者:塔塔塔塔塔 以下示例显示了如何启动跟踪会话,启用基于清单的提供程序或经典提供程序,禁用提供程序然后停止会话。 #include <windows.h> #include <stdio.h> #include <conio.h> #include <strsafe.h&
Event Tracing for Windows(ETW) - 事件跟踪的新特性 (2)
勿以恶小而为之,勿以善小而不为
05-12 456
What’s New in Event Tracing 这部分描述Windows各个版本下的ETW所添加的特性。 Windows 10, version 1709 ETW 现在可以让所有Providers在Enable Sessicon时选择跟做二进制文件。 The tracking applies retroactively for providers that were enabled to the session prior to the call, as well as for all future
Event Tracing for Windows
weixin_30851867的博客
08-10 302
突然ですが、皆さんは、馬に乗ったことはありますか?・・・このお話にご興味のある方は本文の最後の【閑話休題】までどうぞ。 さて、今回は、 Event Tracing for Windows (ETW) についてお話ししようと思います。ドライバ開発者の方にとって、なぜ、 ETW が必要なのでしょうか?読者の皆様にもご経験があるかもしれませんが、エンドユーザ様の運用環境の現象を、開発側...
Event Tracing For Windows
weixin_30488313的博客
09-29 183
https://blogs.msdn.microsoft.com/oanapl/2009/08/04/etw-event-tracing-for-windows-what-it-is-and-useful-tools/ https://www.codeproject.com/articles/570690/application-analysis-with-event-tracing-for-w...
Event Tracing for Windows(ETW) - 使用事件跟踪 (5)
勿以恶小而为之,勿以善小而不为
05-13 378
Using Event Tracing 原文链接 作者:Microsoft 者:塔塔塔塔塔 下面主题描述了如何使用ETW API进行事件跟踪。 主题 描述 控制 事件跟踪的Session 描述如何管理事件跟踪会话 提供 Event 描述如何注册和检测一个Event Trace Provider 消耗 Event 描述如何实现用于从跟踪日志文件或实时使用和处理事件的回调函数 Windows Software Trace Preprocessor 提供一种有效的机制来记录和使用在应
10046事件跟踪会话sql
weixin_34336526的博客
12-20 96
背景知识: 10046 事件按照收集信息内容,可以分成4个级别: Level 1: 等同于SQL_TRACE 的功能 Level 4: 在Level 1的基础上增加收集绑定变量的信息 Level 8: 在Level 1 的基础上增加等待事件的信息 Level 12:等同于Level 4+Level 8, 即...
Event Tracing for Windows(ETW) - 提供者 (9)
勿以恶小而为之,勿以善小而不为
05-18 283
Providing Events 原文链接 作者:Microsoft 者:塔塔塔塔塔 Provider是包含事件跟踪检测的应用程序。Provider进行注册后,Controller 便可以在Provider 中启用或禁用事件跟踪。Provider定义其对启用或禁用的解释(interpretation)。通常,启用 Provider 会生成事件,而禁用 Provider 则不会。这让我们添加事件跟踪时不需在所有时间生成事件。 本节向内容: 写Event 写相关Event 发布Evnet 概要与consum
MSBuild 2017:Event Tracing for Windows (ETW)生产追踪与工具详解
本文档主要探讨了在Windows操作系统中使用Event Tracing for Windows (ETW)进行生产级别的追踪技术在MSBuild 2017中的应用。ETW是一种强大的系统级性能监控工具,它允许开发者收集和分析应用程序运行时的各种事件,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值