Event Trace for Windows - 消耗事件 译(11)

最新推荐文章于 2024-09-10 14:02:14 发布
最新推荐文章于 2024-09-10 14:02:14 发布
阅读量520 收藏
点赞数
分类专栏: 记录 文章标签: Windows ETW C++
原文链接:https://docs.microsoft.com/en-us/windows/win32/etw/consuming-events
版权

Consuming Events

原文链接
作者:Microsoft
译者:塔塔塔塔塔

Consumer 可以处理来自一个或多个Provider的事件。Consumer 可以从日志文件或实时处理事件。仅当Controller为Session指定实时日志记录模式时,才可以实时使用事件。出于性能原因,不建议在Windows Vista之前进行实时处理。

要在Session中指定处理哪一个你要处理的事件,请使用EVENT_TRACE_LOGFILE结构。您必须初始化该结构体的副本为要处理的每个日志文件或实时Session。

要使用日志文件中的Event,请将LogFileName成员设置为日志文件的名称。要使用实时Session中的Event,请将LoggerName成员设置为Session名称。您必须使用此结构来指定 BufferCallback 回调函数以及EventCallbackEventRecordCallback 回调函数用于处理事件。

  • EventRecordCallback 接收和处理来自一个或多个日志文件和实时Session中的所有Event(包括Header Event)。如果您使用跟踪数据帮助器函数来解析Event数据,或者要检索有关Event的元数据,则可以实现此回调。
  • EventCallback 接收和处理来自一个或多个日志文件和实时Session中的所有Event(包括Header Event)。
  • BufferCallback 接收和处理有关当前缓冲区的摘要信息,例如丢失的事件。ETW在将缓冲区中的所有Event传递给Consumer之后调用回调。Consumer也可以使用此回调来取消事件处Event处理。但是,如果您实时使用Event,则ETW会发送事件,直到Controller停止Session为止。
    定义一个或多个Session后,为要处理的每个Session调用OpenTrace函数。您可以处理一个或多个日志文件中的Event,但只能处理一个实时Session中的Event。然后,您将OpenTrace返回的跟踪会话句柄列表传递给ProcessTrace函数。该ProcessTrace功能相结合的Events并按时间顺序排列,然后将它们传递给回调一次一个。可以使用StartTimeEndTime参数将事件过滤为仅包括属于特定时间范围的Event。该ProcessTrace函数将阻塞线程,直到您的使用者处理跟踪会话中的所有事件,BufferCallback返回FALSE或调用CloseTrace函数为止。

在Windows Vista之前:您只能在ProcessTrace返回后才能调用CloseTrace。

有关显示如何使用清单文件,MOF或TMF文件发布的事件的示例,请参阅使用TDH检索事件数据。请注意,从Windows Vista开始,应使用跟踪数据帮助器(TDH)函数来使用事件。

有关显示如何使用使用MOF发布的事件的示例,请参见 Retrieving Event Data Using MOF

要努力闪光的人
关注
专栏目录
Malware Dev 04 - 隐匿之 ETWEvent Tracing for Windows)Bypass
0pr
03-06 2083
这篇文章通过对 clr.dll,advapi32.dll,以及 ntdll.dll 的简单逆向,解析了 ETWEvent Tracing for Windows)的整体调用链。之后,我们介绍了两种 ETW 的绕过方式。一种是 patch EtwEventWrite 方法,另一种是 patch NtTraceEvent 方法。同时,配合 SilkETW,我们对两种绕过方式进行了成功验证。
(论文笔记05. Accurate, Low Cost and Instrumentation-Free Security Audit Logging for Windows(CCF B)2015)
ll14856lk的博客
11-20 529
Accurate, Low Cost and Instrumentation-Free Security Audit Logging for Windows(CCF B) 1. ABSTRACT 该技术建立在Windows事件跟踪(ETW)的基础上。通过分析ETW日志和应用程序可执行文件的关键部分,可以构建一个模型,将ETW日志解析为表示进程中独立子执行的单元。在单位级别推断的因果关系提供了更高的准确性,允许我们执行准确的攻击调查和高效的日志缩减。 2.INTRODUCTION 对于APT等新型攻击,它们往
(ETW) Event Trace for Windows 提高 (含pdf下载)
weixin_34123613的博客
06-04 186
内容提纲 • 托管代码与非托管代码介绍 • 不安全代码介绍 • 用户模式与内核模式 • ETW执行流程分析 • 日志分析工具介绍:PerfView.exe   ETW与非托管代码 • ETW依赖的SourceEventTraceEvent的类库中有很多非托管代码。  • 而SourceEventTraceEvent类库又依赖最底层的非托管的advapi32.dll来完成实际工...
netpref 使用_使用PrefView监测.NET程序性能(一):Event Trace for Windows
weixin_39622178的博客
12-23 149
前言:在日常项目开发中,我们时不时会遇到程序占用了很高CPU的情况,可能是程序里某些未经优化的代码或者Bug,或者是程序运行压力太大。无论是什么原因,我们希望总希望能看到到底是哪个方法占用了如此高的CPU。微软为我们提供了很多性能诊断工具来达到此目的。例如在Visual Studio 2017中的性能查探器,Windows SDK中的Windows Performance Recorder (WP...
Event Trace for Windows - 事件元数据总览 (13)
勿以恶小而为之,勿以善小而不为
06-10 538
Event Metadata Overview 原文链接 作者:Microsoft 者:塔塔塔塔塔 这里概述了Microsoft在Event发生的开端到终端过程中提供的四种跟踪技术:TraceLogging,Manifest-based,WPP和MOF。这四种方式它针对单个Event的有效负载和描述其结构体(Structure)的随附元数据都解决了该问题,从而有可能在以后将事件解码为有意义的数据。在选择适合项目的跟踪技术时,了解每个事件的过程很重要。跟踪没有一种万能的解决方案。 活动有效负载 对于任何微软
windows事件跟踪--ETW(Event Trace For Windows)
07-19 8937
ETW主要包括3个component:Controller, Provider, and Consumer. 这3个的角色从名字一看就清楚了。 我简单介绍一下使用的方法: Provider首先应该用RegisterTraceGuids注册一个Event Trace,同时提供给RegisterTraceGuids的还有一个ControlCallback,这个callback在P
jdk-16_windows-x64_bin.7z
04-06
4. **JEP 385: JFR Event Streaming** - 提供了Java Flight Recorder事件流功能,允许实时地将JFR事件发送到外部系统,如日志收集器或监控工具。 5. **JEP 386: Hidden Classes** - 允许在运行时动态创建并初始化类...
利用Event Tracing for Windows进行性能分析:详解与实践
相比于传统的PerfCounters,ETW具有更高的速度,每项事件记录只需要大约1200到2000个周期,这使得它在处理大量事件时具有较低的CPU占用,例如在每秒处理20,000个事件时,对CPU的消耗小于5%。此外,ETW特别适合于跟踪...
Windows ETW技术详解:高效事件追踪
ETW,全称Event Tracing for Windows,是微软操作系统提供的一种高效且低开销的事件追踪机制。它最早在Windows 2000中引入,并随着Windows版本的更新而逐步增强,尤其在Windows 7中得到了显著提升。ETW不仅用于操作...
Intel网卡 E810-XXVDA2 E810-XXVDA4 E810-CQDA2 E810-2CQDA2 调优 X710-DA2 X710-DA4 X710-T4 Windows性能调优指南(二)
最新发布
lcy524514826的博客
09-10 1562
本指南提供使用Intel®优化网络性能的调优指导以太网700系列(700系列)或Intel®以太网800系列(800系列)设备中Windows环境。本指南侧重于硬件、驱动程序和操作系统条件,以及有助于提高网络性能的设置。 Intel网卡 E810-XXVDA2 E810-XXVDA4 E810-CQDA2 E810-2CQDA2 windows调优 X710-DA2 X710-DA4 X710-T4 Windows性能调优指南 e810-2cqda2 window调优 e810window调优
EtwTools:用于Windows事件跟踪(ETW)的API
03-29
事件追踪 用于Windows事件跟踪(ETW)的API
Event Tracing for Windows
weixin_30851867的博客
08-10 311
突然ですが、皆さんは、馬に乗ったことはありますか?・・・このお話にご興味のある方は本文の最後の【閑話休題】までどうぞ。 さて、今回は、 Event Tracing for Windows (ETW) についてお話ししようと思います。ドライバ開発者の方にとって、なぜ、 ETW が必要なのでしょうか?読者の皆様にもご経験があるかもしれませんが、エンドユーザ様の運用環境の現象を、開発側...
Event Tracing for Windows(ETW) - 事件跟踪的新特性 (2)
勿以恶小而为之,勿以善小而不为
05-12 490
What’s New in Event Tracing 这部分描述Windows各个版本下的ETW所添加的特性。 Windows 10, version 1709 ETW 现在可以让所有Providers在Enable Sessicon时选择跟做二进制文件。 The tracking applies retroactively for providers that were enabled to the session prior to the call, as well as for all future
【Rxjava2源码系列】基本订阅、消耗事件流程(一)
verymrq的博客
04-26 648
一、前言 Rx系列已经出来很久了,笔者也在很早就把他加入项目里使用了,具体使用方法相信大家都很熟悉了,这里就不多讲了。可是虽然用了很久,一旦过一段时间不接触就会生疏,用的时候也比较忐忑,生怕哪里会出问题。所以下决心研究一下他的源码,所谓知己知彼百战不殆。 这里就不列出使用方法了,网上资料已经很多了,也可以去官网上看。我觉得RX最核心的就是:异步以及他的操作符。本文先了解一下他的基本流程,他究竟...
Win7、win10下利用ETW Trace跟踪用户的文件读写信息
浪子_三少(邮箱:basketwill@qq.com)
06-30 8431
发表于freebuf :             http://www.freebuf.com/column/138862.html                  Windows® 事件跟踪 (ETW) 是操作系统提供的一个高速通用的跟踪工具。ETW 使用内核中实现的缓冲和日志记录机制,提供对用户模式应用程序和内核模式设备驱动程序引发的事件的跟踪机制。自windows2000开始,各
不能从远程创建com+对象_SharePoint Servert远程代码执行(CVE20201147)分析
weixin_39725403的博客
11-24 9019
CVE-2020-1147 | .NET Framework,SharePoint Server和Visual Studio远程执行代码漏洞当该软件无法检查XML文件输入的源标记时,.NETFramework,MicrosoftSharePoint和VisualStudio中将存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以在负责反序列化XML内容的过程的上下文中运行任意代码。...
WMI技术介绍和应用——Event Provider
方亮的专栏
02-08 3379
        在《WMI技术介绍和应用——Instance/Method Provider》一文中,我们介绍了Instance和Method Provider的编写方法。本文我们将介绍更有意思的“事件提供者”。在《WMI技术介绍和应用——事件通知》中,我们曾经提到事件是分为两种:intrinsic event和extrinsic event。这两种事件提供者在编写上也非常类似,我们先以extri...
Windows DNS 蠕虫漏洞更严重!SharePoint 反序列化RCE漏洞详情已发布,速修复
smellycat000的专栏
07-24 1474
聚焦源代码安全,网罗国内外最新资讯!编:奇安信代码卫士团队安全研究员Steven Seeley发布文章,详细分析了CVE-2020-1147漏洞的根因以及低权限用户如何可在易...
windbg使用方法_使用 YARA 规则阻止 Windows 事件日志记录
weixin_39903872的博客
12-10 283
更多全球网络安全资讯尽在邑安全Windows事件日志加上Windows事件转发和Sysmon工具是非常强大的防御手段,他们可以检测、记录到攻击者的每一步攻击过程。显然,这对攻击者来说是个问题。在攻击者完成提权操作之前,他们逃避事件日志的方法是有限的,但是一旦完成提权,就成了一个平等的竞技场。我以前发布过一个通过加载恶意的内核驱动程序和Hook住NtTraceEvent系统调用来躲避日志记...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值