创建第一个Windows事件跟踪(ETW)

最新推荐文章于 2023-07-11 10:08:39 发布
最新推荐文章于 2023-07-11 10:08:39 发布
阅读量1.5k 收藏 5
点赞数 1
分类专栏: 安全 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42892543/article/details/107382077
版权

快速入门:处理您的第一个跟踪

尝试使用TraceProcessor访问Windows事件跟踪(ETW)跟踪中的数据。TraceProcessor允许您将ETW跟踪数据作为.NET对象访问。

在此快速入门中,您将学习如何:

  1. 安装TraceProcessing NuGet软件包。
  2. 创建一个TraceProcessor。
  3. 使用TraceProcessor访问跟踪中包含的进程命令行。

先决条件

Visual Studio 2019

安装TraceProcessing NuGet软件包

.NET TraceProcessing可从NuGet使用以下程序包ID获得:

Microsoft.Windows.EventTracing.Processing.All

您可以在控制台应用程序中使用此软件包,以列出ETW跟踪(.etl文件)中包含的过程命令行。

  1. 创建一个新的.NET Core控制台应用程序。在Visual Studio中,选择“文件”,“新建”,“项目…”,然后选择C#的控制台应用程序(.NET Core)模板。

输入项目名称,例如TraceProcessorQuickstart,然后选择创建。

  1. 在解决方案资源管理器中,右键单击Dependencies,然后选择Manage NuGet Packages …,然后切换到Browse选项卡。

  2. 在“搜索”框中,输入Microsoft.Windows.EventTracing.Processing.All并进行搜索。

选择具有该名称的NuGet软件包上的Install,然后关闭NuGet窗口。

创建一个TraceProcessor

  1. 将Program.cs更改为以下内容:
using Microsoft.Windows.EventTracing;
using Microsoft.Windows.EventTracing.Processes;
using System;

class Program
{
    static void Main(string[] args)
    {
        if (args.Length != 1)
        {
            Console.Error.WriteLine("Usage: <trace.etl>");
            return;
        }

        using (ITraceProcessor trace = TraceProcessor.Create(args[0]))
        {
            // TODO: call trace.Use...

            trace.Process();

            Console.WriteLine("TODO: Access data from the trace");
        }
    }
}

  1. 提供运行项目时要使用的跟踪名称。
    在解决方案资源管理器中,右键单击该项目,然后选择“属性”。切换到“调试”选项卡,然后在“应用程序”参数中输入跟踪的路径(.etl文件)。
    如果还没有跟踪文件,则可以使用Windows Performance Recorder创建一个跟踪文件。

  2. 运行应用程序。
    选择“调试”,“开始而不调试”来运行代码。

使用TraceProcessor访问跟踪中包含的进程命令行

  1. 将Program.cs更改为以下内容:
using Microsoft.Windows.EventTracing;
using Microsoft.Windows.EventTracing.Processes;
using System;

class Program
{
    static void Main(string[] args)
    {
        if (args.Length != 1)
        {
            Console.Error.WriteLine("Usage: <trace.etl>");
            return;
        }

        using (ITraceProcessor trace = TraceProcessor.Create(args[0]))
        {
            IPendingResult<IProcessDataSource> pendingProcessData = trace.UseProcesses();

            trace.Process();

            IProcessDataSource processData = pendingProcessData.Result;

            foreach (IProcess process in processData.Processes)
            {
                Console.WriteLine(process.CommandLine);
            }
        }
    }
}
  1. 再次运行该应用程序。
    这次,您应该在记录跟踪时看到正在执行的所有进程的列表命令行。

下一步

在此快速入门中,您创建了一个控制台应用程序,安装了TraceProcessor,并使用它来从ETW跟踪中访问进程命令行。现在,您有了一个访问跟踪数据的应用程序。

流程信息只是应用程序可以访问的ETW跟踪中存储的多种数据中的一种。

下一步是仔细查看TraceProcessor及其可以访问的其他数据源。

Windows Performance Analysis Field Guide笔记汇总
u010607621的博客
04-20 1185
文章目录1 作者简介2 书中介绍的工具3 存储与网络相关3.1 存储3.2 网络4 内存相关4.1 进程内存4.2 内核内存4.3 系统提交内存4.4 页面文件4.5 物理内存5 处理器相关6 开机性能7 日志性能分析(PAL)工具8 可能导致整机卡死的原因 书中大量篇幅介绍了各种磁盘(虚拟)内存的概念和性能指标的查看。这对于我们实时监控Windows的运行时性能,预警性能不足的方案提供了数据参考。对于cpu和网络,开机性能相关的性能指标着墨较少。 对于Windows的卡顿延迟或卡死挂起现象的原因做了预测。
使用Windows事件跟踪(ETW)观察公共语言运行时CLR.PPT
10-16
使用Windows事件跟踪(ETW)观察公共语言运行时CLR
(ETW) Event Tracing for Windows 入门 (含pdf下载)
weixin_34126557的博客
05-30 570
  内容提纲 • ETW 介绍 • ETW 使用 • ETW 监控本机Demo • ETW 监控远程机器的思路 • 底层类库:EventSource 介绍 • 底层类库:TraceEvent 介绍 ETW 是什么? 1.Event Tracing for Windows (ETW):是由操作系统提供的一种通用的,系统开销较低(与性能日志和警报相比)的事件追踪手段,用以监控具有负载...
windows事件跟踪--ETW(Event Trace For Windows)
07-19 9011
ETW主要包括3个component:Controller, Provider, and Consumer. 这3个的角色从名字一看就清楚了。 我简单介绍一下使用的方法: Provider首先应该用RegisterTraceGuids注册一个Event Trace,同时提供给RegisterTraceGuids的还有一个ControlCallback,这个callback在P
Win7、win10下利用ETW Trace跟踪用户的文件读写信息
浪子_三少(邮箱:basketwill@qq.com)
06-30 8642
发表于freebuf :             http://www.freebuf.com/column/138862.html                  Windows® 事件跟踪 (ETW) 是操作系统提供的一个高速通用的跟踪工具。ETW 使用内核中实现的缓冲和日志记录机制,提供对用户模式应用程序和内核模式设备驱动程序引发的事件跟踪机制。自windows2000开始,各
Event Tracing for Windows(ETW) - 使用事件跟踪 译(5)
勿以恶小而为之,勿以善小而不为
05-13 433
Using Event Tracing 原文链接 作者:Microsoft 译者:塔塔塔塔塔 下面主题描述了如何使用ETW API进行事件跟踪。 主题 描述 控制 事件跟踪的Session 描述如何管理事件跟踪会话 提供 Event 描述如何注册和检测一个Event Trace Provider 消耗 Event 描述如何实现用于从跟踪日志文件或实时使用和处理事件的回调函数 Windows Software Trace Preprocessor 提供一种有效的机制来记录和使用在应
Windows ETW技术详解:高效事件追踪
ETW,全称Event Tracing for Windows,是微软操作系统提供的一种高效且低开销的事件追踪机制。它最早在Windows 2000中引入,并随着Windows版本的更新而逐步增强,尤其在Windows 7中得到了显著提升。ETW不仅用于操作...
Windows内核事件追踪技术:ETW使用与分析教程
本文全面介绍了Windows事件追踪(ETW)技术,从基本原理和架构深入至使用方法、高级功能以及在系统故障排查中的应用。ETW作为一种强大的诊断工具,能够提供关键的系统内核追踪信息和性能数据。文章探讨了ETW的工作原理...
ETW入门书籍
06-22
**Event Tracing for Windows (ETW)** 是一种由操作系统提供的事件追踪技术,旨在以较低的系统开销监控系统的性能。相较于传统的性能日志和警告机制,ETW具备更低的资源消耗特性。这种技术广泛应用于需要频繁记录...
WF从入门到精通(第五章):workflow跟踪源码
05-11
WF提供了多种内置的跟踪订阅者,如Console跟踪订阅者(将跟踪数据输出到控制台)、ETW跟踪订阅者(使用Windows事件追踪)和SQL跟踪订阅者(存储跟踪数据到SQL数据库)。 2. **跟踪配置**:在应用程序配置文件中定义...
Windows10EtwEvents:来自Windows 10版本中所有基于清单和基于Mof的ETW提供程序的事件
03-21
Windows 10 ETW事件 来自Windows 10版本中所有基于清单和基于Mof的ETW提供程序的事件 版本 大事记 清单提供者 MOF提供者 未知的提供者 1511 43,319 811 195 24 1607 45,569 830 193 23 1703 46,532 842 194 31 1709 47,687 854 193 28岁 1803 48,226 855 192 29 1809年 49,080 863 190 25 1903年 49,734 867 187 24 1909年 49,773 868 187 24 2004年 50,391 871 187 25 2009年 50399 872 187 25 是否需要其他格式的数据? 罗伯托·罗德里格斯(Roberto Rodrigue
etwprof:基于ETWWindows上本机应用程序的采样探查器
05-26
etwprof etwprof是一个轻量级,自包含的采样探查器,适用于Windows上的本机应用程序。 它基于(ETW)框架。 该探查器具有以下设计目标: 没有任何可安装的依赖项 轻的 处理器架构和模型无关 它必须可行才能用作技术支持工具 与Microsoft提供的基于ETW的性能分析器(例如 , 等)不同,etwprof会执行过滤,因此可以保存仅与目标进程相关的采样配置文件数据。 与其他基于ETW的工具相比,这导致.etl输出文件小得多。 用法 etwprof是一个命令行工具。 要分析(已运行的)进程,请以管理员身份启动etwprof,然后传递PID或您要分析的可执行文件的名称。 以下示例将配置文件notepad.exe ,将生成的.etl文件写入用户的主文件夹,并且还将在开始时创建一个小型转储: etwprof profile -t=notepad.exe --outdir=%
Event Tracing for Windows(ETW) - 进行事件跟踪 译(3)
勿以恶小而为之,勿以善小而不为
05-13 2494
About Event Tracing 原文链接 作者:Microsoft 译者:塔塔塔塔塔 ETW是高性能的内核级跟踪工具,它让我们记录内核或应用定义的事件到一个日志文件。你可以是实时或从日志文件中使用Event去调试应用程序或确定应用程序的性能问题的位置。 ETW可以让我们来动态的Enable 或Disable事件跟踪,从而在生产环境执行详细的跟踪而不需要重启电脑或应用程序。 事件跟踪分为三个部分: Controllers,开启和停止Event Tracing Session 和 Enable Pro
ETW事件基础步骤
weixin_34268610的博客
02-19 542
    一.调用EventRegister注册一个REGHANDLE DWORD status = ERROR_SUCCESS; REGHANDLE RegistrationHandle = NULL; status = EventRegister( &amp;ProviderGuid, // GUID that identifies the provider ...
etw系统provider事件较多_ETW注册表监控windows内核实现原理
weixin_39944638的博客
11-24 473
Window 7以及以上系统的ETW日志自带了一个注册表日志信息的输出,在windows事件查看器的Microsoft Windows Kernel Registry / Analytic可以看到并且开启或者关闭注册表日志,它的监控操作包括CreateKey_Opt、OpenKey_Opt、DeleteKey_Opt、QueryKey_Opt、SetValueKey_Opt、DeleteValu...
ETW
huanongying131的博客
10-29 712
https://docs.microsoft.com/zh-cn/windows/desktop/ETW/event-tracing-mof-classes
windows内核开发学习笔记四十六:事件追踪(ETW
jyl_sh的专栏
07-07 4242
Windows提供了统一的跟踪和记录事件的机制,称为ETW(Event Tracing For Windows)。用户模式应用程序和内核模式驱动程序都可以使用ETW来记录事件ETW是直接由内核支持的事件记录机制。在它的框架结构中,共有三种组件: 控制器(Control):负责启动、停止或配置事件记录会话。 提供者(Provider):负责向ETW注册自己的事件类,并接受控制器的命令,以便启动或者停止它们所负责的事件类的记录过程。 消费者(Consumer):负责有针对性地读取它们想要...
ETW windows事件跟踪知识学习的愚见
最新发布
qq_31314583的博客
07-11 5万+
etw模型网上有就不说了,这里主要是几个概念的区分fill:#333;color:#333;color:#333;fill:none;Vista之前Vista之前Vista 引入的新事件模型,统一ETW和Event Logging的APIWIn10基于ETW 的TraceLogging 引入的简化的检测代码的方法Windows事件事件日志记录 Event LoggingWindows 事件跟踪 ETWWindows事件日志 windows-event-log。
ETW架构以及WPT(Windows Performance Toolkit)命令行的使用
OrangeCat
07-16 3991
ETW ETW(Event trace for Windows)是微软提供的追踪和记录由应用程序和内核驱动事件的机制。ETW已经由Windows操作系统实现了,所以我们无需对其编程。并且在此基础上提供给了开发者一些快速、可靠、通用的事件追踪特性。 ETW架构图(取自MSDN) 下面解释一些ETW架构中使用到的概念 Providers(事件提供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值
>