Event Tracing for Windows(ETW) - 使用基于清单的提供者写事件 译(10)

最新推荐文章于 2024-03-07 10:04:54 发布
最新推荐文章于 2024-03-07 10:04:54 发布
阅读量786 收藏
点赞数
分类专栏: 记录 文章标签: windows c++ etw
原文链接:https://docs.microsoft.com/en-us/windows/win32/etw/writing-manifest-based-events
版权

Writing Manifest-based Events

原文链接
作者:Microsoft
译者:塔塔塔塔塔

在你写Event 到 跟踪Session 前必须先注册Provider。注册好的Provider会通知ETW你的Provider已经准备好去写Event到跟踪Session,您的提供程序已准备好将事件写入跟踪会话。一个进程最多可以注册1,024个Provider的GUID;但是,您应该将程序中注册的Provider的数量限制为一两个。

Windows Vista之前的版本:一个程序可以注册的Provider的数量没有限制。

要注册Manifest Provider,请调用EventRegister函数。该函数注册Provider的GUID,并标Controller启用或禁用Provider时ETW调用的可选回调函数。

在Provider退出之前,调用EventUnregister函数以从ETW中移除Provider的注册。你要通过传递EventRegister函数返回的注册句柄到EventUnregister这个函数。

在Session启用或禁用Provider时,Manifest Provider不需要实现EnableCallback函数来接收通知。这个Callback是可选用于提供信息参考。注册Provider时,无需指定或实现Callback。Manifest Provider可以简单地编写Event,而ETW将决定是否将Event记录到跟踪Session中。如果一个Event要求您执行大量工作以生成Event的数据,则可能需要先调用EventEnabled或EventProviderEnabled函数,以验证在执行工作之前将事件写入会话。

通常,如果Provider要求Controller将Provider-defined的筛选器数据传递给Provider时(请参阅EnableCallback的FilterData参数),或者Provider使用其自身注册时指定的上下文信息(Context)时,可以实现回调。(查看EventRegister的回调函数上下文‘CallbackContext’参数)。

基于清单的提供程序调用EventWriteEventWriteString函数将事件写入会话。如果Event数据是字符串,或者没有为Provider定义清单,并且Event数据是单个字符串,请调用EventWriteString函数编写Event。对于包含数字或复杂数据类型的Event数据,请调用EventWrite函数以记录该Event。

下面的示例显示如何使用EventWrite函数准备要写入的Event数据。该示例引用了在“基于清单的提供者的发布事件模式”中定义的事件。

#include <windows.h>
#include <stdio.h>
#include <evntprov.h>
#include "provider.h"  // 从Manifest(清单)生成

#define SUNDAY     0X1
#define MONDAY     0X2
#define TUESDAY    0X4
#define WEDNESDAY  0X8
#define THURSDAY   0X10
#define FRIDAY     0X20
#define SATURDAY   0X40

enum TRANSFER_TYPE {
  Download = 1,
  Upload,
  UploadReply
};

#define MAX_NAMEDVALUES          5  // 最大数组大小
#define MAX_PAYLOAD_DESCRIPTORS  9 + (2 * MAX_NAMEDVALUES)

typedef struct _namedvalue {
  LPWSTR name;
  USHORT value;
} NAMEDVALUE, *PNAMEDVALUE;

void wmain(void)
{
    DWORD status = ERROR_SUCCESS;
    REGHANDLE RegistrationHandle = NULL; 
    EVENT_DATA_DESCRIPTOR Descriptors[MAX_PAYLOAD_DESCRIPTORS]; 
    DWORD i = 0;

    // 数据加载到事件描述中

    USHORT Scores[3] = {45, 63, 21};
    ULONG pImage = (ULONG)&Scores;
    DWORD TransferType = Upload;
    DWORD Day = MONDAY | TUESDAY;
    LPWSTR Path = L"c:\\path\\folder\\file.ext";
    BYTE Cert[11] = {0x2, 0x4, 0x8, 0x10, 0x20, 0x30, 0x40, 0x50, 0x60, 0x0, 0x1};
    PBYTE Guid = (PBYTE) &ProviderGuid;
    USHORT ArraySize = MAX_NAMEDVALUES;
    BOOL IsLocal = TRUE;
    NAMEDVALUE NamedValues[MAX_NAMEDVALUES] = { 
        {L"Bill", 1},
        {L"Bob", 2},
        {L"William", 3},
        {L"Robert", 4},
        {L"", 5}
        };

    status = EventRegister(
        &ProviderGuid,      // GUID 标识 Provider
        NULL,               // Callback 不使用
        NULL,               // Context 不使用
        &RegistrationHandle // 在调用EventWrite和EventUnregister时使用
        );

    if (ERROR_SUCCESS != status)
    {
        wprintf(L"EventRegister failed with %lu\n", status);
        goto cleanup;
    }
  
    // 加载TransferEvent 事件的描述数据 
    // 按<data>元素的顺序将数据添加到数组
    // 在事件模板中定义。 
   
    EventDataDescCreate(&Descriptors[i++], &pImage, sizeof(ULONG));
    EventDataDescCreate(&Descriptors[i++], Scores, sizeof(Scores));
    EventDataDescCreate(&Descriptors[i++], Guid, sizeof(GUID));
    EventDataDescCreate(&Descriptors[i++], Cert, sizeof(Cert));
    EventDataDescCreate(&Descriptors[i++], &IsLocal, sizeof(BOOL));
    EventDataDescCreate(&Descriptors[i++], Path, (ULONG)(wcslen(Path) + 1) * sizeof(WCHAR));
    EventDataDescCreate(&Descriptors[i++], &ArraySize, sizeof(USHORT));

    // 如果你的事件包含结构体, 你应该分别写入该结构的每个成员 
    // 如果结构体包含整型数据如:DWORD, 并且数据类型是以8字节对齐。
    // 您可以使用以下调用来编写结构,但是,建议您分别编写成员。
    //
    // EventDataDescCreate(&EvtData, struct, sizeof(struct));
    //
    // 由于此示例中的结构体数组同时包含字符串和数字,因此必须分别编写结构的每个成员。

    for (int j = 0; j < MAX_NAMEDVALUES; j++)
    {
        EventDataDescCreate(&Descriptors[i++], NamedValues[j].name, (ULONG)(wcslen(NamedValues[j].name)+1) * sizeof(WCHAR) );
        EventDataDescCreate(&Descriptors[i++], &(NamedValues[j].value), sizeof(USHORT) );
    }

    EventDataDescCreate(&Descriptors[i++], &Day, sizeof(DWORD));
    EventDataDescCreate(&Descriptors[i++], &TransferType, sizeof(DWORD));

    // 写入Event. 你不用在写Event前确认Provider是否启用。 
    // ETW将会写入到以启用的Provider,如果Provider没有启用则写入事件
    // 你需要额外执行一些工作来写入Event,否则就不会写入Event
    // 在执行额外的工作前你可能需要调用EventEnabled函数
    // EventEnabled 函数会告诉你是否启用了Provider,因此你可以知道你是否需要执行额外的工作

    status = EventWrite(
        RegistrationHandle,              // 变量来自 EventRegister
        &TransferEvent,                  // 清单生成的描述变量 EVENT_DESCRIPTOR
        (ULONG)MAX_PAYLOAD_DESCRIPTORS,  // EVENT_DATA_DESCRIPTORs 数组的大小
        &Descriptors[0]                  // 包含事件数据的描述符数组
        );

    if (status != ERROR_SUCCESS) 
    {
        wprintf(L"EventWrite failed with 0x%x", status);
    }

cleanup:

    EventUnregister(RegistrationHandle);
}

当您编译上面示例使用的清单(请参见编译工具清单)时,它将创建以下头文件(在以上示例中引用)。

#pragma once
//+
// Provider Microsoft-Windows-ETWProvider Event Count 1
//+
EXTERN_C __declspec(selectany) const GUID ProviderGuid = {0xd8909c24, 0x5be9, 0x4502, {0x98, 0xca, 0xab, 0x7b, 0xdc, 0x24, 0x89, 0x9d}};
//
// Keyword
//
#define READ_KEYWORD 0x1
#define WRITE_KEYWORD 0x2
#define LOCAL_KEYWORD 0x4
#define REMOTE_KEYWORD 0x8

//
// Event Descriptors
//
EXTERN_C __declspec(selectany) const EVENT_DESCRIPTOR TransferEvent = {0x1, 0x0, 0x0, 0x4, 0x0, 0x0, 0x5};
#define TransferEvent_value 0x1
#define MSG_Provider_Name                    0x90000001L
#define MSG_Event_WhenToTransfer             0xB0000001L
#define MSG_Map_Download                     0xD0000001L
#define MSG_Map_Upload                       0xD0000002L
#define MSG_Map_UploadReply                  0xD0000003L
#define MSG_Map_Sunday                       0xF0000001L
#define MSG_Map_Monday                       0xF0000002L
#define MSG_Map_Tuesday                      0xF0000003L
#define MSG_Map_Wednesday                    0xF0000004L
#define MSG_Map_Thursday                     0xF0000005L
#define MSG_Map_Friday                       0xF0000006L
#define MSG_Map_Saturday                     0xF0000007L
要努力闪光的人
关注
专栏目录
如何利用ETWEvent Tracing for Windows)记录日志
weixin_34006965的博客
10-25 2618
ETWEvent Tracing for Windows的简称,它是Windows提供的原生的事件跟踪日志系统。由于采用内核(Kernel)层面的缓冲和日志记录机制,所以ETW提供了一种非常高效的事件跟踪日志解决方案。 一、ETW模型 事件监测(Event Instrumentation)总会包含两个基本的实体,事件提供者ETW Provid...
Malware Dev 04 - 隐匿之 ETWEvent Tracing for Windows)Bypass
0pr
03-06 2061
这篇文章通过对 clr.dll,advapi32.dll,以及 ntdll.dll 的简单逆向,解析了 ETWEvent Tracing for Windows)的整体调用链。之后,我们介绍了两种 ETW 的绕过方式。一种是 patch EtwEventWrite 方法,另一种是 patch NtTraceEvent 方法。同时,配合 SilkETW,我们对两种绕过方式进行了成功验证。
(ETW) Event Tracing for Windows 入门 (含pdf下载)
weixin_34126557的博客
05-30 523
  内容提纲 • ETW 介绍 • ETW 使用 • ETW 监控本机Demo • ETW 监控远程机器的思路 • 底层类库:EventSource 介绍 • 底层类库:TraceEvent 介绍 ETW 是什么? 1.Event Tracing for Windows (ETW):是由操作系统提供的一种通用的,系统开销较低(与性能日志和警报相比)的事件追踪手段,用以监控具有负载...
Event Tracing for Windows
weixin_30851867的博客
08-10 309
突然ですが、皆さんは、馬に乗ったことはありますか?・・・このお話にご興味のある方は本文の最後の【閑話休題】までどうぞ。 さて、今回は、 Event Tracing for Windows (ETW) についてお話ししようと思います。ドライバ開発者の方にとって、なぜ、 ETW が必要なのでしょうか?読者の皆様にもご経験があるかもしれませんが、エンドユーザ様の運用環境の現象を、開発側...
Event Tracing For Windows
weixin_30488313的博客
09-29 195
https://blogs.msdn.microsoft.com/oanapl/2009/08/04/etw-event-tracing-for-windows-what-it-is-and-useful-tools/ https://www.codeproject.com/articles/570690/application-analysis-with-event-tracing-for-w...
Production Tracing with Event Tracing for Windows (ETW) - MSBuild 2017 - Slides-计算机科学
04-22
在深入探讨使用Windows事件跟踪(ETW)进行生产跟踪这一主题之前,我们需要了解ETW技术的基本概念。ETW是一种高效率的事件记录架构,用于跟踪操作系统、驱动程序、服务、应用程序等组件的运行时行为。它通过为开发者...
Monitoring .NET Performance with Event Tracing for Windows
11-15
事件追踪WindowsEvent Tracing for Windows,简称ETW)是一种高效的技术,用于在Windows、.NET框架、驱动程序和服务等环境中产生每秒数万乃至数十万条带有丰富负载和堆栈跟踪支持的日志事件。在.NET性能监控中,...
Windows 事件追踪101
最新发布
Frendguo的博客
03-07 1331
Windows® 事件追踪(ETW)是一种由操作系统提供的多用途、快速的跟踪工具。它通过在内核层面上实现的一套缓冲和日志记录机制,能够跟踪用户级应用和内核级设备驱动程序产生的事件ETW 具有以下特征:开发人员可以根据预期用途选择合适的实现集(例如,很容易添加像 WPP 实现这样的 Printf,以用于调试目的的事件)。基础结构管理常用信息,如时间戳、函数名称和源文件行号。相同的实现用于用户模式应用和内核模式组件。ETW 可在故障转储和实时调试中进行访问。
Event Tracing for Windows(ETW) - 使用事件跟踪 (5)
勿以恶小而为之,勿以善小而不为
05-13 398
Using Event Tracing 原文链接 作者:Microsoft 者:塔塔塔塔塔 下面主题描述了如何使用ETW API进行事件跟踪。 主题 描述 控制 事件跟踪的Session 描述如何管理事件跟踪会话 提供 Event 描述如何注册和检测一个Event Trace Provider 消耗 Event 描述如何实现用于从跟踪日志文件或实时使用和处理事件的回调函数 Windows Software Trace Preprocessor 提供一种有效的机制来记录和使用在应
Windows10EtwEvents:来自Windows 10版本中所有基于清单和基于Mof的ETW提供程序的事件
03-21
Windows 10 ETW事件 来自Windows 10版本中所有基于清单和基于Mof的ETW提供程序的事件 版本 大事记 清单提供者 MOF提供者 未知的提供者 1511 43,319 811 195 24 1607 45,569 830 193 23 1703 46,532 842 194 31 1709 47,687 854 193 28岁 1803 48,226 855 192 29 1809年 49,080 863 190 25 1903年 49,734 867 187 24 1909年 49,773 868 187 24 2004年 50,391 871 187 25 2009年 50399 872 187 25 是否需要其他格式的数据? 罗伯托·罗德里格斯(Roberto Rodrigue
Event Tracing for Windows(ETW) - 事件跟踪下控制器与会话 (6)
勿以恶小而为之,勿以善小而不为
05-14 463
Controlling Event Tracing Sessions 原文链接 作者:Microsoft 者:塔塔塔塔塔 Session 记录来自一个或多个Provider的Event。Controller定义Session并启用Provider。定义Session通常包括指定Session名字和日志文件,及要使用的日志文件的类型以及用于记录Event的时间戳的分辨率(resolution of the time stamp)。控制器还可以更新和查询Session。 以下主题演示了如何定义和更新Sessi
Event Tracing for Windows(ETW) - 提供者 (9)
勿以恶小而为之,勿以善小而不为
05-18 299
Providing Events 原文链接 作者:Microsoft 者:塔塔塔塔塔 Provider是包含事件跟踪检测的应用程序。Provider进行注册后,Controller 便可以在Provider 中启用或禁用事件跟踪。Provider定义其对启用或禁用的解释(interpretation)。通常,启用 Provider 会生成事件,而禁用 Provider 则不会。这让我们添加事件跟踪时不需在所有时间生成事件。 本节向内容: Event 相关Event 发布Evnet 概要与consum
Event Tracing for Windows(ETW) - 事件跟踪会话 (4)
勿以恶小而为之,勿以善小而不为
05-13 504
Event Tracing Sessions 原文链接 作者:Microsoft 者:塔塔塔塔塔 Controller启用Event Tracing Session从一个或多个Provider记录Event。Session还负责管理和刷新缓冲区。Controller定义会话,包括指定Session和日志文件名,要使用的日志文件的类型以及用于记录Event的时间戳的Resolution(?)。 Event Tracing最多支持同时执行64个Session。在这些Sessions中,有两个特殊目的Sessi
Event Tracing for Windows(ETW) - 进行事件跟踪 (3)
勿以恶小而为之,勿以善小而不为
05-13 2353
About Event Tracing 原文链接 作者:Microsoft 者:塔塔塔塔塔 ETW是高性能的内核级跟踪工具,它让我们记录内核或应用定义的事件到一个日志文件。你可以是实时或从日志文件中使用Event去调试应用程序或确定应用程序的性能问题的位置。 ETW可以让我们来动态的Enable 或Disable事件跟踪,从而在生产环境执行详细的跟踪而不需要重启电脑或应用程序。 事件跟踪分为三个部分: Controllers,开启和停止Event Tracing Session 和 Enable Pro
Event Tracing for Windows(ETW) - 配置并开始事件跟踪的会话 (7)
勿以恶小而为之,勿以善小而不为
05-14 1121
Configuring and Starting an Event Tracing Session\ 原文链接 作者:Microsoft 者:塔塔塔塔塔 配置Session,使用EVENT_TRACE_PROPERTIES结构体指定Session的属性。为EVENT_TRACE_PROPERTIES结构体分配的内存必须足够大,以包含结构下的的Session和日志文件名。 指定Session的属性后,调用StartTrace函数以启动Session。如果该函数成功,则SessionHandle参数将包含Se
Event Tracing for Windows(ETW) - 事件跟踪的新特性 (2)
勿以恶小而为之,勿以善小而不为
05-12 475
What’s New in Event Tracing 这部分描述Windows各个版本下的ETW所添加的特性。 Windows 10, version 1709 ETW 现在可以让所有Providers在Enable Sessicon时选择跟做二进制文件。 The tracking applies retroactively for providers that were enabled to the session prior to the call, as well as for all future
Event Tracing for Windows(ETW) - 代码示例:创建会话和启动基于清单提供者 (8)
勿以恶小而为之,勿以善小而不为
05-14 757
Example that Creates a Session and Enables a Manifest-based or Classic Provider 原文链接 作者:Microsoft 者:塔塔塔塔塔 以下示例显示了如何启动跟踪会话,启用基于清单的提供程序或经典提供程序,禁用提供程序然后停止会话。 #include <windows.h> #include <stdio.h> #include <conio.h> #include <strsafe.h&
windows内核开发学习笔记四十六:事件追踪(ETW
jyl_sh的专栏
07-07 3936
Windows提供了统一的跟踪和记录事件的机制,称为ETWEvent Tracing For Windows)。用户模式应用程序和内核模式驱动程序都可以使用ETW来记录事件ETW是直接由内核支持的事件记录机制。在它的框架结构中,共有三种组件: 控制器(Control):负责启动、停止或配置事件记录会话。 提供者(Provider):负责向ETW注册自己的事件类,并接受控制器的命令,以便启动或者停止它们所负责的事件类的记录过程。 消费者(Consumer):负责有针对性地读取它们想要...
MSBuild 2017:Event Tracing for Windows (ETW)生产追踪与工具详解
本文档主要探讨了在Windows操作系统中使用Event Tracing for Windows (ETW)进行生产级别的追踪技术在MSBuild 2017中的应用。ETW是一种强大的系统级性能监控工具,它允许开发者收集和分析应用程序运行时的各种事件,...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值