在驅動程序中的ETW跟蹤 - 後程序

Question

我有一個驅動程序中的ETW跟蹤;正確創建的清單文件，這些資源都彙集在等在目標機器上，運行此命令以管理員身份：

wevtutil IM myManifest.xml

我沒有得到任何錯誤。然後，我運行（如管理員）：

logman創建跟蹤myProviderName -o Log.etl -p 「{} myProviderGUID」 -f bincirc -max 1000

沒有任何錯誤。那我等已經進行了一些痕跡足夠的時間，然後我運行這些命令對應的（如管理員）：

logman停止myProviderName

tracerpt Log000001.etl

現在的問題我得到的是生成的文件dumpfile.xml根本不顯示任何痕跡的記錄。它顯示了設置詳細信息的基本結構，包括Provider GUID等。

所以我的問題：在上述過程中是否存在缺少的步驟，或者必須將問題與我的跟蹤代碼配合使用？

Answer 1

事實證明存在問題;雖然它不是我的代碼。我沒有在清單中包含我的事件的操作碼，因此沒有記錄事件。

如果有人在這篇文章中絆倒，它可能會幫助你注意到，即使是基本功能，你的事件也必須具有通道，級別，操作碼和模板。此外，上述過程缺少一個步驟。我需要做到以下幾點：

1. 右鍵單擊「我的電腦」，選擇「管理」
2. 單擊性能>數據收集器集>用戶定義> MYPROVIDER
3. 右鍵單擊MYPROVIDER在右側窗格中，選擇'屬性'
4. 根據我在清單中指定的內容設置關鍵字（任何），關鍵字（全部）和級別
5. 重新啓動我的機器，並通過logman重新啓用跟蹤。

上述過程（在上面的問題+補充中）將創建一個日誌會話並從生成的ETL文件生成基本可讀的日誌輸出。