如何利用ETW(Event Tracing for Windows)记录日志

最新推荐文章于 2024-07-18 00:15:00 发布
最新推荐文章于 2024-07-18 00:15:00 发布
阅读量2.6k 收藏 3
点赞数 2
文章标签: 操作系统 开发工具 python
原文链接:https://yq.aliyun.com/articles/226503
版权
本文介绍了Windows的Event Tracing for Windows (ETW)系统,详细阐述了ETW模型,包括事件提供者、消费者和控制器的角色。探讨了如何使用.NET的EventSource进行ETW编程,以及如何利用PerfView工具查看ETW日志记录,为开发者提供了深入理解ETW及其应用的方法。
摘要由CSDN通过智能技术生成

ETW是Event Tracing for Windows的简称,它是Windows提供的原生的事件跟踪日志系统。由于采用内核(Kernel)层面的缓冲和日志记录机制,所以ETW提供了一种非常高效的事件跟踪日志解决方案。

一、ETW模型

事件监测(Event Instrumentation)总会包含两个基本的实体,事件的提供者(ETW Provider)和消费者(ETW Consumer),ETW框架可以视为它们的中介。ETW Provider会预先注册到ETW框架上,提供者程序在某个时刻触发事件,并将标准化定义的事件提供给ETW框架。Consumer同样需要注册到ETW框架上,在注册的时候可以设置事件的删选条件和接收处理事件的回掉。对于接收到的事件,如果它满足某个注册ETW Consumer的筛选条件,ETW会调用相应的回调来处理该事件。

ETW针对事件的处理是在某个会话(ETW Session)中进行的,ETW Session提供了一个接收、存储、处理和分发事件的执行上下文。ETW框架可以创建多一个会话来处理由提供者程序发送的事件,但是ETW Session并不会与某个单一的提供者绑定在一起,多个提供者程序可以向同一个ETW Session发送事件。对于接收到的事件,ETW Session可以将它保存在创建的日志文件中,也可以实时地分发给注册的消费者应用。ETW会话的开启和终止是通过 Session的开启和终止是通过ETW控制器(ETW Controller)进行管理的。除了管理ETW Session之外,ETW Controller还可以禁用(Disable)或者恢复(Enable)注册到某个ETW Session上的ETW Provider。

13

综上所述,整个ETW模型由ETW框架本身和ETW Provider、ETW Consumer以及ETW Controller组成,上图很好地展示了这四者之间的关系。出于篇幅的限制,我们只能对ETW作一个粗略的介绍,实际上ETW自身是一个非常强大的事件跟踪日志系统,有兴趣的朋友可以参阅相关的文档进行系统学习。

二、针对ETW的编程

.NET提供了一种比较独特并且简单的编程模式编写针对ETW的事件提供和消费程序。所谓的ETW Provider就是事件的提供者,它体现了事件的来源,对应着一个EventSource对象。EventSource类型定义在“System.Diagnostics.Tracing”这个NuGet包中。如下面的代码片段所示,EventSource类型中定义了一系列WriteEvent方法重载,这些方法会触发一个事件并将其递交给ETW框架。这些方法具有一个代表事件ID的参数,必须是一个介于[0, 65535] 之间的整数,而其他参数将作为负载(Payload)附加到事件对象上。 

   1: public class EventSource : IDisposable
   2: {   
   3:     ...
   4:     protected void WriteEvent(int eventId);    
   5:     protected void WriteEvent(int eventId, int arg1);    
   6:     protected void WriteEvent(int eventId, long arg1);    
   7:     protected void WriteEvent(int eventId, string arg1);    
   8:     protected void WriteEvent(int eventId, byte[] arg1);    
   9:         
  10:     protected void WriteEvent(int eventId, int arg1, int arg2);    
  11:     protected void WriteEvent(int eventId, int arg1, string arg2);    
  12:     protected void WriteEvent(int eventId, long arg1, long arg2);    
  13:     protected void WriteEvent(int eventId, long arg1, string arg2);    
  14:     protected void WriteEvent(int eventId, long arg1, byte[] arg2);    
  15:     protected void WriteEvent(int eventId, string arg1, int arg2);    
  16:     protected void WriteEvent(int eventId,
最低0.47元/天 解锁文章
weixin_34006965
关注
Malware Dev 04 - 隐匿之 ETWEvent Tracing for Windows)Bypass
0pr
03-06 2061
这篇文章通过对 clr.dll,advapi32.dll,以及 ntdll.dll 的简单逆向,解析了 ETWEvent Tracing for Windows)的整体调用链。之后,我们介绍了两种 ETW 的绕过方式。一种是 patch EtwEventWrite 方法,另一种是 patch NtTraceEvent 方法。同时,配合 SilkETW,我们对两种绕过方式进行了成功验证。
Event Tracing For Windows
weixin_30488313的博客
09-29 195
https://blogs.msdn.microsoft.com/oanapl/2009/08/04/etw-event-tracing-for-windows-what-it-is-and-useful-tools/ https://www.codeproject.com/articles/570690/application-analysis-with-event-tracing-for-w...
windows USB 设备驱动开发-Windows 的 USB 事件跟踪
最新发布
苏洛的博客
07-18 707
本主题为客户端驱动程序开发人员提供有关通用串行总线(USB)的跟踪和日志记录功能的信息。 为开发和调试 USB 设备的用户提供了此信息。 其中包括有关如何安装工具、创建跟踪文件和分析 USB 跟踪文件中的事件的信息。 本主题假定你已全面了解成功使用 USB 跟踪和日志记录功能所需的 USB 生态系统和硬件。 若要解释事件跟踪,还必须了解 Windows 中的 Windows USB 主机端驱动程序、官方 USB 规范和 USB 设备类规范。
使用ETW进行性能分析
ccf19881030的专栏
02-02 237
UIforETWWindows Performance Made Easier
解析Windows ETL日志的利器:etl-parser
gitblog_00065的博客
06-19 376
解析Windows ETL日志的利器:etl-parser 项目地址:https://gitcode.com/airbus-cert/etl-parser 在数字取证和入侵调查(DFIR)领域,理解系统活动的关键常常隐藏在各种日志文件中。Windows操作系统的事件跟踪(ETW日志以ETL格式存储,这种格式既强大又复杂,但文档稀少,给分析带来了挑战。然而,有了etl-parser这个纯Pytho...
探索Java日志的奥秘:底层日志系统-log4j2
云栖社区
04-11 487
前言log4j2是apache在log4j的基础上,参考logback架构实现的一套新的日志系统(我感觉是apache害怕logback了)。log4j2的官方文档上写着...
Monitoring .NET Performance with Event Tracing for Windows
11-15
事件追踪WindowsEvent Tracing for Windows,简称ETW)是一种高效的技术,用于在Windows、.NET框架、驱动程序和服务等环境中产生每秒数万乃至数十万条带有丰富负载和堆栈跟踪支持的日志事件。在.NET性能监控中,...
TraceEventProgrammersGuide.rar_ETW_tracing
09-21
事件跟踪窗口(Event Tracing for Windows,简称ETW)是Windows操作系统中的一个强大日志记录机制,它允许开发者对应用程序进行低开销、高效率的诊断和性能分析。在.NET环境中,ETW与CLR紧密集成,为.NET应用程序...
Windows 事件追踪101
Frendguo的博客
03-07 1331
Windows® 事件追踪(ETW)是一种由操作系统提供的多用途、快速的跟踪工具。它通过在内核层面上实现的一套缓冲和日志记录机制,能够跟踪用户级应用和内核级设备驱动程序产生的事件。ETW 具有以下特征:开发人员可以根据预期用途选择合适的实现集(例如,很容易添加像 WPP 实现这样的 Printf,以用于调试目的的事件)。基础结构管理常用信息,如时间戳、函数名称和源文件行号。相同的实现用于用户模式应用和内核模式组件。ETW 可在故障转储和实时调试中进行访问。
ETW2SQLite:将ETW日志转换为SQLite数据库的工具
05-18
ETW2SQLite ETW2SQLite是将ETW日志文件(.ETL)转换为SQLite数据库的工具。 将为每个唯一的事件类型创建一个表,并将每个事件作为该表的行添加。 对于事件中的每个“ flat”属性,都会创建一个与最接近SQLite类型匹配的列,对于“ structs”和“ arrays”,信息将被编码为JSON(使用Newtonsoft.Json库)并与其余属性一起存储。 命令行用法 ETW2SQLite C:\MyFile.etl C:\MyFile.Kernel.etl --output=C:\MyFile.sqlite 下载 ETW2SQLite.zip可以从以下地址下载和SQLite的项目包括ETW2SQLite.exe和sqlite3.dll的。 注意:当前仅构建为32位可执行文件(无论如何它都比64位更快,并且可在32位和64位Windows上使用)。 为什么选
Event Tracing for Windows(ETW) - 进行事件跟踪 译(3)
勿以恶小而为之,勿以善小而不为
05-13 2355
About Event Tracing 原文链接 作者:Microsoft 译者:塔塔塔塔塔 ETW是高性能的内核级跟踪工具,它让我们记录内核或应用定义的事件到一个日志文件。你可以是实时或从日志文件中使用Event去调试应用程序或确定应用程序的性能问题的位置。 ETW可以让我们来动态的Enable 或Disable事件跟踪,从而在生产环境执行详细的跟踪而不需要重启电脑或应用程序。 事件跟踪分为三个部分: Controllers,开启和停止Event Tracing Session 和 Enable Pro
Event Tracing for Windows(ETW) - 前言 事件跟踪 译(1)
勿以恶小而为之,勿以善小而不为
05-12 939
Event Tracing 原文链接 作者:Microsoft 译者:塔塔塔塔塔 意欲 ETW(Event Tracing for Windows)
【C#】【Log】Common.Logging.MultipleLogger及ETWLoggerd研究
weixin_33859665的博客
11-26 179
common.logging是基于java语言的一个日志门面框架,是Apache基金会下的commons项目下的一个子项目,让你的日志脱离具体的实现。Commong.Logging是.NET下的日志门面框架,它是基于C#语言的移植。并且做了一些基于Windows的扩展。比如ETWWindows事件跟踪)等独特的日志记录和收集方式。关于如何收集ETW可以...
探索Windows内核的奥秘:EtwConsumerNT项目深度剖析
gitblog_00093的博客
06-21 648
探索Windows内核的奥秘:EtwConsumerNT项目深度剖析 EtwConsumerNTSimple project that demonstrates how an ETW consumer can be created just by using NTDLL项目地址:https://gitcode.com/gh_mirrors/et/EtwConsumerNT 项目介绍 在Windo...
ETW架构以及WPT(Windows Performance Toolkit)命令行的使用
OrangeCat
07-16 3875
ETW ETWEvent trace for Windows)是微软提供的追踪和记录由应用程序和内核驱动事件的机制。ETW已经由Windows操作系统实现了,所以我们无需对其编程。并且在此基础上提供给了开发者一些快速、可靠、通用的事件追踪特性。 ETW架构图(取自MSDN) 下面解释一些ETW架构中使用到的概念 Providers(事件提供...
客户端显示不能连接服务器,客户端不能连接到WSUS服务器
weixin_42401338的博客
08-09 1338
wsus检测工具结果如下:WSUS Client Diagnostics ToolChecking Machine StateChecking for admin rights to run tool . . . . . . . . . PASSAutomatic Updates Service is running. . . . . . . . . . PASSBackground Intell...
TryHackMe圣诞挑战第十一天
nekopoch的博客
01-17 707
这道题主要运用了SQL数据库以及SQL Sever 题目背景: McDatabaseAdmin冲进房间,对McSkidy喊道:"我们被锁在驯鹿时间表之外 - 圣诞老人的交通工具将如何工作圣诞节?"格林奇已经锁定了他的系统的McDatabaseAdmin。您需要探测服务器的外表面,以查看是否让他重新访问。 MS SQL Server是一个关系数据库管理系统(RDBMS)。考虑关系数据库的一种简单方法是一组具有关系的表。要大致了解关系数据库的工作原理,请考虑具有以下三个表的商店数据库: 电子产品 客户
利用Event Tracing for Windows进行性能分析:详解与实践
本文档详细介绍了如何在Windows系统上利用Event Tracing (ETW) 进行性能分析。ETWWindows操作系统提供的一种强大的统一日志记录工具,用于收集、监控和分析系统的运行状态,尤其是在驱动程序质量和软件效率优化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值