电脑里面的微软的事件跟踪收集服务器,简化了事件Windows跟踪 - Windows Server | Microsoft Docs...

最新推荐文章于 2023-11-29 17:57:29 发布
最新推荐文章于 2023-11-29 17:57:29 发布
阅读量284 收藏
点赞数
文章标签: 电脑里面的微软的事件跟踪收集服务器

事件跟踪Windows简化

09/08/2020

本文内容

本文介绍简化的 ETW Windows (事件) 。

适用于:  WindowsServer 2008 R2 Service Pack 1

原始 KB 编号:  2593157

摘要

ETW 于 2000 年Windows引入。 它用于提供组件级别日志记录。 如使用 ETW 改进调试和性能优化一文所述,ETW 提供:

用户模式应用程序和内核模式设备驱动程序所引发 事件的跟踪机制。此外,ETW 还使您能够动态启用和禁用日志记录,从而轻松地在生产环境中执行详细跟踪,而无需重新启动或应用程序重新启动。这允许大型服务器应用程序以最小最小数量写入事件。

快速概述:事件提供程序将事件写入 ETW 会话 (它可以是任何用户模式应用程序、托管应用程序、驱动程序) 。 编写事件时,ETW 会添加有关其发生时间、进程和生成它的线程 ID、处理器号和日志记录线程的 CPU 使用率数据详细信息。 此信息由事件使用者 使用; 读取日志文件或侦听实时事件的会话并处理这些事件的应用程序。

logman 查询 提供程序命令中的示例 输出:

提供程序 GUID

.NET 公共语言运行时 {E13C0D23-CCBC-4E12-931B-D9CC2EEE27E4}

ACPI 驱动程序跟踪提供程序 {一D0D4D-2D48-477D-B1C3-DAAD0CE6F06B}

Active Directory 域服务:SAM {8E598056-8993-11D2-819E-0000F875A064}

Active Directory:Kerberos 客户端 {BBA3ADD2-C229-4CDB-AE2B-57EB6966B0C4}

Active Directory:NetLogon {F33959B4-DBEC-11D2-895B-00C04F79AB69}

Application-Addon-Event-Provider {A83FA99F-C356-4DED-9FD6-5A5EB8546D68}

ASP.NET事件 {AFF081FE-0247-4275-9C4E-021F3DC1DA35}

ATA 端口驱动程序跟踪提供程序 {D08BD885-501E-489A-BAC6-B7D24BFE6BBF}

AuthFw NetShell 插件 {935F4AE6-845D-41C6-97FA-380DAD429B72}

BFE 跟踪提供程序 {106B464A-8043-46B1-8CB8-E92A0CD7A560}

BITS 服务跟踪 {4A8AAA94-CFC4-46A7-8E4E-17BC45608F0A}

证书服务客户端凭据搜索跟踪 {EF4109DC-68FC-45AF-B329-CA2825437209}

证书服务客户端跟踪 {F01B7774-7ED7-401E-8088-B576793D7841}

循环内核会话提供程序 {54DEA73A-ED1F-42A4-AF71-3E63D056F174}

Classpnp 驱动程序跟踪提供程序 {FA8DE7C4-ACDE-4443-9994-C4E2359A9EDB}

Critical Section Trace Provider {3AC66736-CC59-4CFF-8115-8DF50E39816B}

设备任务枚举器 {0E9E7909-00AA-42CF-9502-2C490471E598}

磁盘类驱动程序跟踪提供程序 {945186BF-3DD6-4F3F-9C8E-9EDD3FC9D558}

下层 IPsec API {94335EB3-79EA-44D5-8EA9-306F49B3A041}

Microsoft 下载中心提供了各种实用程序,以便分析 .etl 文件,例如网络监视器 v3.4。 但是,下面的示例脚本不需要安装其中任何一个。

更多信息

下面的脚本将生成 ETL 跟踪;本例中,Provider - Microsoft-Windows-TerminalServices-RemoteConnectionManager 的数据。

@echo off

ECHO These commands will enable tracing:

@echo on

logman create trace admin_wmi -ow -o c:\admin_wmi.etl -p " Microsoft-Windows-TerminalServices-RemoteConnectionManager " 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode 0x2 -max 2048

logman start admin_wmi

@echo off

echo

ECHO Reproduce your issue and enter any key to stop tracing

@echo on

pause

logman stop admin_wmi

logman delete admin_wmi

@echo off

echo Tracing has been captured and saved successfully at c:\admin_wmi.etl

将上述脚本另存为批处理文件 (.bat) 提升的权限运行它以生成 .etl 文件。

备注

可以修改此脚本,以根据需要为任何提供程序生成跟踪。 如上所述,可以从 logman 查询提供程序命令获取提供程序名称。可以使用任何事件提供程序替换突出显示的 字段,它将在数分钟内生成特定于问题的跟踪。

为了分析生成的 .etl 跟踪,请使用内置的 tracerpt.exe 实用工具生成可用于进一步解释的 .evtx 文件。

此命令的一个示例是:

tracerpt c:\admin_wmi.etl -o c:\admin_wmi.etl.evtx -of EVTX

大禹昆仑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Syslog和Windows事件日志收集
weixin_42434696的博客
08-09 5972
Syslog和Windows事件日志收集EventLog Analyzer从分布式Windows设备收集事件日志,或从分布式Linux和UNIX设备、交换机和路由器(Cisco)收集syslog。事件日志报表为实时生成,以显示整个网络中的重要系统信息。 无需代理/客户端软件的日志收集 对于事件日志收集,eventlog analyzer应用程序不需要在收集日志所在的每台机器上安装单独的代理。收集W...
wisesoftOffice.zip
07-13
描述中的“Office Online Server”是微软提供的一个服务,允许用户在Web浏览器中查看、编辑和协作处理Word、Excel、PowerPoint等Office文档,而无需安装完整的Office套件。这意味着项目可能旨在集成此服务,为用户...
Windows 事件查看器(收集
java开发指南博客 【转载】
05-14 591
事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视Windows 的安全事件提示:除了可以在“控制面板→管理工具”中找到“事件查看器”的踪影外,也可以在“运行”对话框中手工键入“%SystemRoot%\system32\eventvwr.msc /s”打开事件查看器窗口。1. 应用程序日志包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据...
服务器跟踪收集
weixin_34043301的博客
12-04 191
服务器跟踪收集 SQL Server性能分析器只是少量系统存储过程中相当轻量的封装,这些系统存储过程显示了SQL跟踪的真正功能。 下列系统存储过程用来定义和管理跟踪:Sp_trace_create 用来定义一个跟踪,并和接下来将要讲的其他选项一样指定一个输出文件位置。这个存储过程以整型跟踪ID的形式返回一个所创建跟踪的句柄。Sp_trace_setevent 的作用是基于跟踪ID将事件或列组合...
微软服务器跟踪,跟踪 | Microsoft Docs
weixin_28909779的博客
08-11 350
跟踪04/25/2012本文内容有多个用于跟踪的选项,这些选项有助于捕获数据使用者应用程序、OLE DB 服务组件、数据访问接口、DB2 网络客户端以及 DB2 数据库服务器中的问题。使用 SQL Server Profiler 进行 SQL 使用者跟踪SQL Server Profiler 是 SQL 跟踪的图形用户界面,用于监视数据库引擎或 Analysis Services 的实例。您可以捕...
电脑里面微软事件跟踪收集服务器,启用,禁用Windows 10中的关闭事件跟踪 | MOS86...
weixin_42298826的博客
08-06 506
点击此处修复Windows错误并提高系统性能关闭事件跟踪器是工作站或服务器功能,也可在Windows 10/8/7中访问,以始终追踪系统关机的原因。然后,您可以使用此信息来分析关闭,并开发对系统环境的更全面的了解。这是一个额外的问题,当您调用关闭以收集与您关闭计算机的原因相关的信息时显示的问题。启用,使用组策略禁用关闭事件跟踪要在Windows中启用此策略设置,请键入gpedit。msc在开始搜索...
LJ.rar_C#企业网站_LJCMSTestServers.exe_企业网站
09-14
2. **.NET框架**:C#代码通常运行在.NET框架上,这是一个由微软提供的开发平台,包含了大量的类库,可以简化开发过程。 3. **ASP.NET**:是.NET框架的一部分,专门用于构建Web应用程序。它提供了丰富的控件、数据...
ASP.NET-[上传下载]资料管理系统源码.zip
11-21
ASP.NET是一种基于.NET Framework的服务器端网页开发技术,由微软公司推出,旨在简化Web应用程序的构建和维护。在这个“ASP.NET-[上传下载]资料管理系统源码.zip”压缩包中,包含了一个专门用于文件管理和下载的系统...
ASP.NET源码——巢客文件管理系统.zip
10-10
ASP.NET提供了Entity Framework这样的ORM(对象关系映射)工具,简化了数据库操作。巢客文件管理系统可能会使用SQL Server、MySQL或其他数据库系统。 4. **权限管理**:为了确保文件的安全性,系统可能集成了角色和...
IT-TOOLS:IT工具
03-29
除此之外,项目管理工具如Jira、Trello和Asana,协同办公工具如Slack、Microsoft Teams,以及文档共享平台Google Docs和Confluence,提高了团队协作效率。 总之,"IT-TOOLS"可能涵盖了这些领域的工具,甚至可能包含...
BT源代码学习心得(八):跟踪服务器(Tracker)的代码分析(用户请求的实际处理)
gushenghua的专栏
12-25 1725
BT源代码学习心得(八):跟踪服务器(Tracker)的代码分析(用户请求的实际处理)发信人: wolfenstein (NeverSayNever), 个人文集标  题: BT源代码学习心得(八):跟踪服务器(Tracker)的代码分析(用户请求的实际处理)发信站: 水木社区 (Wed Aug 10 21:52:50 2005), 文集(本文包含HTML标记,终端模式下可能无法正确浏
BT源代码学习心得(六):跟踪服务器(Tracker)的代码分析(初始化)
gushenghua的专栏
12-25 1648
BT源代码学习心得(六):跟踪服务器(Tracker)的代码分析(初始化)发信人: wolfenstein (NeverSayNever), 个人文集标  题: BT源代码学习心得(六):跟踪服务器(Tracker)的代码分析(初始化)发信站: 水木社区 (Mon Aug  8 11:30:43 2005), 文集(本文包含HTML标记,终端模式下可能无法正确浏览)    Tracke
linux服务器跟踪命令,Linux服务器性能追踪以及服务器监控常用命令
weixin_33147645的博客
05-10 283
在网站1. 内存检查:free -m注意,重点看的是第二行,-/+ buffers/cache行,第一个数字是实际消耗的内存,第二个是实际空闲的内存。2. 系统进程监控 topTop命令注意看输出的第二、第三行。第二行(Tasks)表示系统运行的进程数,这个数值一般不能太大,比如超过300、甚至400-500,这个比较容易理解,我们一般开启的服务、进程外加系统进程都不会太多,太多肯定有问题。第三行...
微软服务器跟踪,域控制器上的分布式链接跟踪 - Windows Server | Microsoft Docs
weixin_34792546的博客
08-11 690
基于域控制器Windows分布式链接跟踪09/08/2020本文内容本文介绍如何使用 Windows 中的分布式链接跟踪服务跟踪 NTFS 格式卷和服务器之间链接文件的创建和移动。适用于: Windows Server 2012R2原始 KB 编号: 312403分布式链接跟踪概述可以使用分布式链接跟踪服务器服务和分布式链接跟踪客户端服务跟踪指向 NTFS 格式分区上文件的链接。 分布式链接...
电脑里面微软事件跟踪收集服务器,Windows 的 USB 事件跟踪的概述
weixin_30848953的博客
08-06 1131
Windows 的 USB 事件跟踪的概述04/20/2017本文内容本主题提供有关适用于通用串行总线 (USB) 的跟踪和日志记录功能的客户端驱动程序开发人员的信息。 提供此信息是为了帮助开发和调试 USB 设备的用户。 它包括有关如何安装这些工具、创建跟踪文件和分析 USB 跟踪文件中的事件的信息。 本主题假定你全面了解了成功使用 USB 跟踪和日志记录功能所需的 USB 生态系统和硬件。关于...
删除win7事件查看器中的所有日志
dz45693的专栏
06-22 6864
删除win7事件查看器中的所有日志
删除win10事件查看器中的所有日志的批处理命令
ZaiDong
04-24 4679
wevtutil.exe cl "Application" wevtutil.exe cl "HardwareEvents" wevtutil.exe cl "Internet Explorer" wevtutil.exe cl "Key Management Service" wevtutil.exe cl "Microsoft-AppV-Client/Admin" wevtutil.exe ...
windows远程连接记录查看和配置(包括本地连接记录和server被连接记录)
最新发布
xh_w20的专栏
11-29 1万+
wins 远程连接记录,包括从本地连接的记录和server被连接的记录
查看windows mstsc远程登陆日志(client ip)
热门推荐
think_ycx的专栏
06-11 2万+
最近有个需求,要看一下windows MSTSC的登陆日志。 测试环境:     win10 参考: https://social.technet.microsoft.com/Forums/windows/en-US/efabde54-be5e-4be2-bf1b-b146934047e1/logging-ip-adderess-during-remote-desktop-connecti...
2008远程桌面无法连接到远程计算机,无法连接到远程计算机 - Windows Server | Microsoft Docs...
05-20
这个问题可能由多种原因引起,以下是一些可能的解决方案: 1. 确保远程计算机已开启远程桌面功能,...如果上述解决方法都无法解决问题,建议您查看远程计算机的事件日志,以确定问题的具体原因,并采取相应的措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值