Tiêu thụ sự kiện "Truy tìm sự kiện cho Windows"

Question

Câu trả lời cho câu hỏi this đã dẫn tôi xem xét sử dụng "Theo dõi sự kiện cho Windows" cho nhu cầu truy tìm của chúng tôi. Tôi đã đi qua NTrace, mà dường như là một cách tốt để sản xuất các sự kiện ETW từ mã C# (sử dụng mô hình "nhà cung cấp cổ điển" tương thích với XP).

Tuy nhiên, tôi không thể tìm thấy cách dễ dàng để tiêu thụ các sự kiện này - để xem chúng trong thời gian thực và/hoặc đăng nhập chúng vào tệp. Cách duy nhất tôi tìm thấy được mô tả trong tài liệu NTrace: sử dụng một công cụ chỉ có sẵn như là một phần của Windows DDK.

Trong trường hợp có sự cố phức tạp trong trường, chúng tôi có thể cần yêu cầu người dùng để tạo tệp chứa dấu vết. Chúng tôi không thể yêu cầu người dùng tải xuống DDK hoặc thực hiện một số thao tác phức tạp để thực hiện việc này.

Có cách nào đơn giản, thân thiện với người dùng để ghi nhật ký sự kiện ETW vào tệp không?

Ngoài ra, một người nào đó có thể tiêu thụ các sự kiện ETW trên Windows Vista/7 nếu họ không chạy với tư cách là quản trị viên không?

Answer 1

TraceView là giải pháp out-of-the-box dễ nhất, nhưng có thể viết trình xem ETW của riêng bạn mà cụ thể cho nhà cung cấp của bạn. Điều này sẽ cung cấp cho bạn toàn quyền kiểm soát bản trình bày và giúp người dùng cuối dễ dàng hơn nhiều vì TraceView thực sự là một công cụ gỡ lỗi nhiều hơn là bạn có thể yêu cầu người dùng cuối chạy.

As far as real-time tracing đi, according to the documentation:

Chỉ người dùng có quyền quản trị, người dùng trong nhóm Users Performance Log, và các dịch vụ chạy như LocalSystem, LocalService, NetworkService có thể tiêu thụ các sự kiện trong thời gian thực . Để cấp cho người dùng bị hạn chế khả năng tiêu thụ sự kiện trong thời gian thực, hãy thêm họ vào nhóm Người dùng Nhật ký hiệu suất.

Windows XP và Windows 2000: Bất kỳ ai cũng có thể sử dụng các sự kiện thời gian thực.

Nếu bạn quan tâm đến việc viết trình xem ETW của riêng bạn (thời gian thực hoặc tệp nhật ký), here is the relevant documentation.

Answer 2

Nhật ký sự kiện Windows đọc ETW. Trong thực tế, tôi muốn nói đây là cách chính xác cho một người tiêu dùng (không phải chương trình) để xem và xuất các dấu vết ETW.

Xem ở đây để biết ví dụ. http://blogs.microsoft.co.il/blogs/applisec/archive/2009/10/12/reading-etw-tracing-using-event-viewer.aspx

This question on msdn Không nên làm gì khi nhật ký không xuất hiện. Có bất cứ điều gì ở đây giúp đỡ?

Answer 3

Truy tìm ETW được thiết kế chỉ để quản trị viên chạy vì dấu vết có thể chứa thông tin nhận dạng cá nhân. Và nó sẽ đặt ra mối đe dọa an ninh nếu một người không quản trị có thể nắm bắt được dấu vết.

Đây là một ví dụ cảnh báo từ Xperf

Các dấu vết bạn vừa bị bắt "C: \ Windows \ system32 \ kernel.etl" có thể chứa thông tin cá nhân, bao gồm nhưng không nhất thiết phải giới hạn ở đường dẫn đến tập truy cập , đường dẫn đến đăng ký được truy cập và xử lý tên. Thông tin chính xác phụ thuộc vào các sự kiện đã được ghi lại. Hãy lưu ý điều này khi chia sẻ dấu vết này với những người khác.

Hy vọng điều này trả lời câu hỏi của bạn

Answer 4

Đây là cách bạn có thể nhận được tùy chỉnh ETW dấu vết từ của riêng bạn và làm thế nào custom provider ETW có thể được sử dụng trong managed code

Hope this helps.

Answer 5

IMO Perfview là một trong những công cụ tốt nhất có sẵn để kiểm soát và xem dấu vết ETW. Nó cũng có thể cung cấp ngăn xếp cuộc gọi được quản lý. Phần tốt nhất của nó là bạn có thể xcopy trên bất kỳ máy chủ và thu thập dấu vết.

Perfview sử dụng TraceEvent thư viện và ở đây samples làm thế nào bạn có thể sử dụng nó sử dụng một API và C#