我正在使用 Windows API 的事件跟踪,并且不时运行我的应用程序,但它在打开 ETW 跟踪控制器会话后无法关闭它。
基本上::StartTrace([out] handle...),当我完成它时,我会关闭它并且不会关闭它(通过使用::StopTrace()函数完成关闭)
我正在寻找一种工具来显示活动会话,以便我可以手动关闭它。没有它,我必须重新启动我的电脑才能在关机时关闭控制器会话。
另外,在同一个 ETW 区域(在 Win 7 上),我知道我应该能够使用 wbemtest.exe 查看公共 MOF 描述的数据布局。那里我应该进入
- Connect -> Namespace = \\root\wmi\EventTrace
查看 MOF 数据。但我得到“RPC 服务器不可用”。在该屏幕中使用默认值:IWBemLocator(Namespaces)、如何解释密码 = null、身份验证级别 = 数据包。
在凭据区域中,我有用户和密码(我尝试过),但还有另一个空字段 - 权限。有没有办法查看 MOF 数据?我在 Win 7 下运行了这个提升。
您可以使用该命令logman query -ets查看当前正在运行的跟踪事件会话的列表。例如,在 Windows 10 上,您将看到如下内容:
C:\>logman query -ets
Data Collector Set Type Status
-------------------------------------------------------------------------------
AppModel Trace Running
FaceRecoTel Trace Running
FaceUnlock Trace Running
LwtNetLog Trace Running
Microsoft Security Client WMI Providers Trace Running
NtfsLog Trace Running
TileStore Trace Running
WiFiSession Trace Running
SCM Trace Running
UserNotPresentTraceSession Trace Running
CldFltLog Trace Running
SHS-05042018-095434-7-5f Trace Running
WDSC-05042018-095434-7-20 Trace Running
Diagtrack-Listener Trace Running
8696EAC4-1288-4288-A4EE-49EE431B0AD9 Trace Running
Cloud Files Diagnostic Event Listener Trace Running
The command completed successfully.
如果您创建了自己的会话,例如使用Microsoft.Diagnostics.Tracing.Session.TraceEventSession,您将为会话指定一个唯一的名称,如果它正在运行,您应该在列表中看到它。
要终止现有会话,请以管理员身份执行以下操作:
logman stop <SessionName> -ets
还有一些 PowerShell Cmdlet可以做类似的事情。
QueryAllTraces函数检索在调用者有权查询的计算机上启动的所有事件跟踪会话的属性和统计信息。
我可以建议将您问题的第二部分作为单独的问题发布吗?
Windows SDK 附带的tracelog命令行实用程序允许您执行QueryAllTraces与tracelog -l命令相同的操作。