如何利用ETW(Event Tracing for Windows)记录日志

最新推荐文章于 2024-12-29 10:39:28 发布
最新推荐文章于 2024-12-29 10:39:28 发布
阅读量2.6k 收藏 3
点赞数 2
文章标签: 操作系统 开发工具 python
原文链接:https://yq.aliyun.com/articles/226503
版权
本文介绍了Windows的Event Tracing for Windows (ETW)系统,详细阐述了ETW模型,包括事件提供者、消费者和控制器的角色。探讨了如何使用.NET的EventSource进行ETW编程,以及如何利用PerfView工具查看ETW日志记录,为开发者提供了深入理解ETW及其应用的方法。
摘要由CSDN通过智能技术生成

ETW是Event Tracing for Windows的简称,它是Windows提供的原生的事件跟踪日志系统。由于采用内核(Kernel)层面的缓冲和日志记录机制,所以ETW提供了一种非常高效的事件跟踪日志解决方案。

一、ETW模型

事件监测(Event Instrumentation)总会包含两个基本的实体,事件的提供者(ETW Provider)和消费者(ETW Consumer),ETW框架可以视为它们的中介。ETW Provider会预先注册到ETW框架上,提供者程序在某个时刻触发事件,并将标准化定义的事件提供给ETW框架。Consumer同样需要注册到ETW框架上,在注册的时候可以设置事件的删选条件和接收处理事件的回掉。对于接收到的事件,如果它满足某个注册ETW Consumer的筛选条件,ETW会调用相应的回调来处理该事件。

ETW针对事件的处理是在某个会话(ETW Session)中进行的,ETW Session提供了一个接收、存储、处理和分发事件的执行上下文。ETW框架可以创建多一个会话来处理由提供者程序发送的事件,但是ETW Session并不会与某个单一的提供者绑定在一起,多个提供者程序可以向同一个ETW Session发送事件。对于接收到的事件,ETW Session可以将它保存在创建的日志文件中,也可以实时地分发给注册的消费者应用。ETW会话的开启和终止是通过 Session的开启和终止是通过ETW控制器(ETW Controller)进行管理的。除了管理ETW Session之外,ETW Controller还可以禁用(Disable)或者恢复(Enable)注册到某个ETW Session上的ETW Provider。

13

综上所述,整个ETW模型由ETW框架本身和ETW Provider、ETW Consumer以及ETW Controller组成,上图很好地展示了这四者之间的关系。出于篇幅的限制,我们只能对ETW作一个粗略的介绍,实际上ETW自身是一个非常强大的事件跟踪日志系统,有兴趣的朋友可以参阅相关的文档进行系统学习。

二、针对ETW的编程

.NET提供了一种比较独特并且简单的编程模式编写针对ETW的事件提供和消费程序。所谓的ETW Provider就是事件的提供者,它体现了事件的来源,对应着一个EventSource对象。EventSource类型定义在“System.Diagnostics.Tracing”这个NuGet包中。如下面的代码片段所示,EventSource类型中定义了一系列WriteEvent方法重载,这些方法会触发一个事件并将其递交给ETW框架。这些方法具有一个代表事件ID的参数,必须是一个介于[0, 65535] 之间的整数,而其他参数将作为负载(Payload)附加到事件对象上。 

   1: public class EventSource : IDisposable
   2: {   
   3:     ...
   4:     protected void WriteEvent(int eventId);    
   5:     protected void WriteEvent(int eventId, int arg1);    
   6:     protected void WriteEvent(int eventId, long arg1);    
   7:     protected void WriteEvent(int eventId, string arg1);    
   8:     protected void WriteEvent(int eventId, byte[] arg1);    
   9:         
  10:     protected void WriteEvent(int eventId, int arg1, int arg2);    
  11:     protected void WriteEvent(int eventId, int arg1, string arg2);    
  12:     protected void WriteEvent(int eventId, long arg1, long arg2);    
  13:     protected void WriteEvent(int eventId, long arg1, string arg2);    
  14:     protected void WriteEvent(int eventId, long arg1, byte[] arg2);    
  15:     protected void WriteEvent(int eventId, string arg1, int arg2);    
  16:     protected void WriteEvent(int eventId,
最低0.47元/天 解锁文章
Malware Dev 04 - 隐匿之 ETWEvent Tracing for Windows)Bypass
0pr
03-06 2237
这篇文章通过对 clr.dll,advapi32.dll,以及 ntdll.dll 的简单逆向,解析了 ETWEvent Tracing for Windows)的整体调用链。之后,我们介绍了两种 ETW 的绕过方式。一种是 patch EtwEventWrite 方法,另一种是 patch NtTraceEvent 方法。同时,配合 SilkETW,我们对两种绕过方式进行了成功验证。
(ETW) Event Tracing for Windows 入门 (含pdf下载)
weixin_34126557的博客
05-30 584
  内容提纲 • ETW 介绍 • ETW 使用 • ETW 监控本机Demo • ETW 监控远程机器的思路 • 底层类库:EventSource 介绍 • 底层类库:TraceEvent 介绍 ETW 是什么? 1.Event Tracing for Windows (ETW):是由操作系统提供的一种通用的,系统开销较低(与性能日志和警报相比)的事件追踪手段,用以监控具有负载...
Event Tracing For Windows
weixin_30488313的博客
09-29 219
https://blogs.msdn.microsoft.com/oanapl/2009/08/04/etw-event-tracing-for-windows-what-it-is-and-useful-tools/ https://www.codeproject.com/articles/570690/application-analysis-with-event-tracing-for-w...
Windows ETW 入门 【Windows系统编程】
最新发布
CaTianRi的博客
12-29 767
ETW,全称 Event Trace For Windows,是微软在Windows中提供的一种高效事件记录机制。简单来讲,可以把它看成一个大型日志系统,能够从程序、内核、驱动收集各种运行信息。ETW的特性:轻量化:ETW在运行时对系统性能的影响微乎其微,因此可以安全地用于生产环境。实时性:你可以实时捕获和分析事件,而不需要重启系统或应用。灵活性:支持自定义事件,开发者可以根据需要定义自己的事件并收集数据。ETW的主要用途:ETW可以捕获系统和应用程序的性能指标,从而做到优化程序的运行效率。
使用ETW进行性能分析
ccf19881030的专栏
02-02 281
UIforETWWindows Performance Made Easier
解析Windows ETL日志的利器:etl-parser
gitblog_00065的博客
06-19 630
解析Windows ETL日志的利器:etl-parser 去发现同类优质开源项目:https://gitcode.com/ 在数字取证和入侵调查(DFIR)领域,理解系统活动的关键常常隐藏在各种日志文件中。Windows操作系统的事件跟踪(ETW日志以ETL格式存储,这种格式既强大又复杂,但文档稀少,给分析带来了挑战。然而,有了etl-parser这个纯Python库,处理ETL文件变得简单且...
Monitoring .NET Performance with Event Tracing for Windows
11-15
事件追踪WindowsEvent Tracing for Windows,简称ETW)是一种高效的技术,用于在Windows、.NET框架、驱动程序和服务等环境中产生每秒数万乃至数十万条带有丰富负载和堆栈跟踪支持的日志事件。在.NET性能监控中,...
利用Event Tracing for Windows优化游戏性能:深入分析与实践
在计算机科学领域,Event Tracing for Windows (ETW) 是一个强大的工具,用于分析游戏性能。它是一种内核级别的日志记录机制,能够捕获并记录系统中的各种事件,这些事件由称为提供者的系统组件生成,提供了非常细致...
利用Event Tracing for Windows进行性能分析:详解与实践
本文档详细介绍了如何在Windows系统上利用Event Tracing (ETW) 进行性能分析。ETWWindows操作系统提供的一种强大的统一日志记录工具,用于收集、监控和分析系统的运行状态,尤其是在驱动程序质量和软件效率优化...
探索Java日志的奥秘:底层日志系统-log4j2
云栖社区
04-11 515
前言log4j2是apache在log4j的基础上,参考logback架构实现的一套新的日志系统(我感觉是apache害怕logback了)。log4j2的官方文档上写着...
Event Tracing for Windows(ETW) - 进行事件跟踪 译(3)
勿以恶小而为之,勿以善小而不为
05-13 2518
About Event Tracing 原文链接 作者:Microsoft 译者:塔塔塔塔塔 ETW是高性能的内核级跟踪工具,它让我们记录内核或应用定义的事件到一个日志文件。你可以是实时或从日志文件中使用Event去调试应用程序或确定应用程序的性能问题的位置。 ETW可以让我们来动态的Enable 或Disable事件跟踪,从而在生产环境执行详细的跟踪而不需要重启电脑或应用程序。 事件跟踪分为三个部分: Controllers,开启和停止Event Tracing Session 和 Enable Pro
Event Tracing for Windows(ETW) - 前言 事件跟踪 译(1)
勿以恶小而为之,勿以善小而不为
05-12 998
Event Tracing 原文链接 作者:Microsoft 译者:塔塔塔塔塔 意欲 ETW(Event Tracing for Windows)
【C#】【Log】Common.Logging.MultipleLogger及ETWLoggerd研究
weixin_33859665的博客
11-26 205
common.logging是基于java语言的一个日志门面框架,是Apache基金会下的commons项目下的一个子项目,让你的日志脱离具体的实现。Commong.Logging是.NET下的日志门面框架,它是基于C#语言的移植。并且做了一些基于Windows的扩展。比如ETWWindows事件跟踪)等独特的日志记录和收集方式。关于如何收集ETW可以...
TryHackMe圣诞挑战第十一天
nekopoch的博客
01-17 731
这道题主要运用了SQL数据库以及SQL Sever 题目背景: McDatabaseAdmin冲进房间,对McSkidy喊道:"我们被锁在驯鹿时间表之外 - 圣诞老人的交通工具将如何工作圣诞节?"格林奇已经锁定了他的系统的McDatabaseAdmin。您需要探测服务器的外表面,以查看是否让他重新访问。 MS SQL Server是一个关系数据库管理系统(RDBMS)。考虑关系数据库的一种简单方法是一组具有关系的表。要大致了解关系数据库的工作原理,请考虑具有以下三个表的商店数据库: 电子产品 客户
EtwConsumerNT:深入探索ETW事件追踪的利器
gitblog_00093的博客
06-21 680
EtwConsumerNT:深入探索ETW事件追踪的利器 EtwConsumerNT Simple project that demonstrates how an ETW consumer can be created just by using NTDLL 项...
ETW架构以及WPT(Windows Performance Toolkit)命令行的使用
OrangeCat
07-16 4021
ETW ETWEvent trace for Windows)是微软提供的追踪和记录由应用程序和内核驱动事件的机制。ETW已经由Windows操作系统实现了,所以我们无需对其编程。并且在此基础上提供给了开发者一些快速、可靠、通用的事件追踪特性。 ETW架构图(取自MSDN) 下面解释一些ETW架构中使用到的概念 Providers(事件提供...
客户端显示不能连接服务器,客户端不能连接到WSUS服务器
weixin_42401338的博客
08-09 1390
wsus检测工具结果如下:WSUS Client Diagnostics ToolChecking Machine StateChecking for admin rights to run tool . . . . . . . . . PASSAutomatic Updates Service is running. . . . . . . . . . PASSBackground Intell...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值