这是一篇摘要,原文在这里
Exploring and Decoding ETW Providers using Event Log Channels
(http://blogs.msdn.com/ntdebugging/archive/2009/09/08/exploring-and-decoding-etw-providers-using-event-log-channels.aspx)
这篇blog演示了一个使用ETW的例子,例子中笔者用ETW来trace IE.
trace IE对于现在的工作没太大的意义,不过里面的一些信息比较有用。比如:
Windows提供了很多的ETW providers,如何找到合适的来解决问题?
在Windows什么地方可以开启ETW log,什么地方可以查看log?
如何format/filter ETW log.
-----------------------我是分隔线,下面是笔记------------------------------------------
只是浏览了文章,并没有实际的操作。所以只记下一些关键的命令,以后遇到一些实际的问题,可以当作一些启发。
1.Windows内建了很多的ETW providers,许多software也注册了很多ETW providers.如何查询它们呢?
所有的providers
c:\>logman query providers
所有providers太多了,查查关键字
c:\>logman query providers | findstr /i "Internet"
查询特定process的providers(by pid)
c:\>logman query providers -pid 6200
2.默认大部分ETW providers是关闭的,如何开启他们?
简单的说就是在Event Viewer里面可以配置,原文中有图,比较直观。
3.开启了providers,如何抓log并且dump它们呢。
Event Viewer可以save All Events As..
wevtutil命令也可以。
tracerpt命令提供了更加强大复杂的功能。
最有还可以用PowerShell脚本来做更加的复杂的处理。
4.最后一个是我最想知道的,往往知道了一个providers的GUID,他提供了很多flag和level.但是无法知道flag和level的意义。
C:\>logman query providers "XXXx YYYYY ZZZZ"
-------------------------------分隔线,下面是题外话-------------------------------------
以前从来不知道windows自带的logman,都是一直使用更加专业的xperf.
我想xperf应该都有类似的功能,只不过是xperf的doc太长了,一直没有时间能够通读一遍。