[blog摘要]Exploring and Decoding ETW Providers using Event Log Channels
這是一篇摘要,原文在這里
Exploring and Decoding ETW Providers using Event Log Channels
(http://blogs.msdn.com/ntdebugging/archive/2009/09/08/exploring-and-decoding-etw-providers-using-event-log-channels.aspx)
這篇blog演示了一個使用ETW的例子,例子中筆者用ETW來trace IE.
trace IE對于現(xiàn)在的工作沒太大的意義,不過里面的一些信息比較有用。比如:
Windows提供了很多的ETW providers,如何找到合適的來解決問題?
在Windows什么地方可以開啟ETW log,什么地方可以查看log?
如何format/filter ETW log.
-----------------------我是分隔線,下面是筆記------------------------------------------
只是瀏覽了文章,并沒有實際的操作。所以只記下一些關(guān)鍵的命令,以后遇到一些實際的問題,可以當(dāng)作一些啟發(fā)。
1.Windows內(nèi)建了很多的ETW providers,許多software也注冊了很多ETW providers.如何查詢它們呢?
所有的providers
c:\>logman query providers
所有providers太多了,查查關(guān)鍵字
c:\>logman query providers | findstr /i "Internet"
查詢特定process的providers(by pid)
c:\>logman query providers -pid 6200
2.默認(rèn)大部分ETW providers是關(guān)閉的,如何開啟他們?
簡單的說就是在Event Viewer里面可以配置,原文中有圖,比較直觀。
3.開啟了providers,如何抓log并且dump它們呢。
Event Viewer可以save All Events As..
wevtutil命令也可以。
tracerpt命令提供了更加強大復(fù)雜的功能。
最有還可以用PowerShell腳本來做更加的復(fù)雜的處理。
4.最后一個是我最想知道的,往往知道了一個providers的GUID,他提供了很多flag和level.但是無法知道flag和level的意義。
C:\>logman query providers "XXXx YYYYY ZZZZ"
-------------------------------分隔線,下面是題外話-------------------------------------
以前從來不知道windows自帶的logman,都是一直使用更加專業(yè)的xperf.
我想xperf應(yīng)該都有類似的功能,只不過是xperf的doc太長了,一直沒有時間能夠通讀一遍。
?
轉(zhuǎn)載于:https://www.cnblogs.com/aoaoblogs/archive/2009/11/12/1602143.html
總結(jié)
以上是生活随笔為你收集整理的[blog摘要]Exploring and Decoding ETW Providers using Event Log Channels的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 几个不错的自己到的少的游戏站
- 下一篇: IIS6中配置PHP