ETW 드라이버 추적 - 뒤 절차

Question

드라이버에 ETW 추적이 있습니다. 매니페스트 파일이 자원은 모든 대상 컴퓨터에 등의 컴파일, 제대로 만든, 내가 관리자로이 명령을 실행

메신저 myManifest.xml

wevtutil을 나는 오류를 얻을 수 없습니다. 그럼, (관리자 권한으로) 실행

Logman은이 오류없이 myProviderName -o Log.etl -p "{myProviderGUID}"-f bincirc - 최대 1000

추적을 만들 수 있습니다. 그럼 몇 가지 흔적이 수행 된 수있는 충분한 시간을 기다린 후 나는 (관리자)이 때 명령을 실행

Logman은 정지 myProviderName

tracerpt의 Log000001.etl 이제

문제를 내가 가지고있는 것은 생성 된 파일인데, dumpfile.xml은 내 흔적이 전혀없는 레코드를 보여줍니다.

그래서 내 질문 : 위의 절차에서 누락 된 단계가 있습니까, 아니면 추적 코드에 문제가 있어야합니까?

Answer 1

문제가있는 것으로 나타났습니다. 내 코드가 아니었지만. 매니페스트에 내 이벤트의 연산 코드를 포함시키지 않았으므로 이벤트가 기록되지 않았습니다.

누군가이 게시물에 걸리면 이벤트에 채널, 레벨, opcode 및 기본 기능까지 갖춘 템플릿이 있어야 함을 알리는 데 도움이 될 수 있습니다. 또한 위의 절차에는 한 단계가 누락되었습니다. ,

1. 오른쪽
2. 클릭이 실적> 데이터 수집기 ​​설정> 사용자 권한 오른쪽 창에 MyProvider로를 클릭> MyProvider로
3. 정의 '관리' '내 컴퓨터'를 클릭하고 : 나는 다음을 수행하는 데 필요한 'Properties'를 선택하십시오.
4. 매니페스트에서 지정한 내용에 따라 키워드 (모두), 키워드 (모두) 및 레벨을 설정하십시오.
5. 내 컴퓨터를 다시 시작하고 logman을 통해 추적을 다시 활성화하십시오.

위의 절차 (직접 보충 + 질문에서)는 로그 세션을 생성하고 생성 된 ETL 파일에서 기본 읽기 가능한 로그 출력을 생성합니다.