寫入ETW事件日誌

Question

我需要將一些ETW條目寫入Windows事件日誌。例如，我需要在應用程序和服務日誌/ Microsoft/Windows/AAD（或任何其他文件夾，並不重要）中生成一些事件。

New-winevent在powershell中確實如此，但速度太慢。

我也試過這個 https://blogs.msdn.microsoft.com/dotnet/2013/08/09/announcing-the-eventsource-nuget-package-write-to-the-windows-event-log/ 並迅速生成事件到任意文件夾，但我看到發生事件的現有供應商的沒有明顯的方式。如果我嘗試註冊一個新文件夾，wevtutil會抱怨說這個文件夾的提供者已經註冊了（這是有道理的）。 那麼最好的解決辦法是什麼？作爲一些現有的提供者，你如何產生事件？

Answer 1

與之戰鬥了一段時間後，終於想通了，以防有人面臨同樣的問題。

我從來沒有找到一種方法來使用現有的提供者。相反，我生成清單文件，並用它來卸載現有的供應商： wevtutil.exe -im $manifestfile /mf:$dllfile /rf:$dllfile

：

wevtutil.exe -um $manifestfile

之後，新的，一產生，我需要的事件，可以沒有任何錯誤安裝

顯然，如果你這樣做，現有的日誌停止工作。