问题标签 [etw]

问问题

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

431 问题
Newest
Active
Bountied
318
Unanswered
0 投票
0 回答
350 浏览

windows - 如何增加 EventProvider 有效负载大小?

是否可以增加 Appfabric 中用户定义事件的有效负载大小?为了实现自定义事件,我使用EventProvider了命名空间中定义的类(此处System.Diagnostics.Eventing为示例)。

我们可以在msdn上找到,

事件的最大数据大小限制为 64 KB 减去事件标头的大小。如果会话的缓冲区大小较小并且会话包含事件的扩展数据项,则事件大小较小。

仅供参考,我的一些自定义事件占用超过 64KB,因为它们包含输入和/或输出的序列化副本。当有效负载大小大于 64KB 时,不会写入消息。

0 投票
2 回答
5044 浏览

c# - 您如何使用 Windows 性能分析器查看 EventSource 创建的 ETW 事件?

我想使用EventSourceWindows 性能分析器触发 ETW 事件并查看它们。

我有一个基本的EventSource

当我使用 Windows Performance Recorder (WPR) 进行录制时,我在 Windows Performance Analyzer (WPA) 的通用事件图中看不到我的提供程序或事件。

谢谢你的时间 :)

0 投票
1 回答
712 浏览

.net - 垃圾收集 ETW 事件。我在哪里可以找到“事件数据”

在下面的 msdn 链接中,列出了“事件数据”,如计数、深度、原因 .. http://msdn.microsoft.com/en-us/library/ff356162%28v=vs.100%29.aspx#gcstart_v1_event

根据这个链接,我创建了一个 .etl 文件。 http://msdn.microsoft.com/en-us/library/dd264809.aspx

使用 xprefview.exe 我观察了 etl 文件,甚至发现了所需的事件 'GCStart_V1',查看了视图 'summary table' 中的列操作码。

问题:我在哪里可以找到第一个链接中列出的“事件数据”?

0 投票
2 回答
627 浏览

etw - Windows 性能分析器中“焦点窗口”图形的 ETW 提供程序

Windows 性能分析器有一个名为“焦点窗口”的图表。我应该在 xperf 命令行中指定什么提供程序/跟踪标志来获得这样的图表?

0 投票
1 回答
4899 浏览

c# - 使用 C# 使用 ETW 内核跟踪

我正在使用 Windows Server 2012 并尝试使用 C# 使用来自 ETW 的内核跟踪。例如,我有一个名为“LiveKernel”的数据收集器集,它有一个“Windows 内核跟踪”提供程序来捕获线程系统调用事件,并且流模式是实时的。

使用Daniel Vasquez Lopez 提供的代码作为起点,我正在尝试使用这些事件。但是,我收到的输出总是:

这对我来说表明它没有消耗任何事件。我对这段代码的理解是,我所要做的就是更改名称和 GUID 以反映我的新选择,因此我将代码更新为

我在这里缺少什么吗?有没有更好的方法来使用内核跟踪?“Windows 内核跟踪”提供程序是否有什么特别之处可以阻止我们实时使用它的事件?

0 投票
1 回答
777 浏览

hook - Procmon 如何在 64 位 Vista+ 上工作?

我了解较旧的 Procmon 及其前身(filemon、regmon 等)使用虚拟驱动程序来挂钩内核。但是,Patchguard 在 64 位 Vista+ 上阻止 SSDT 挂钩等。

据我了解,Procmon 现在使用 minifilter 驱动程序进行文件 IO 监控,使用 ETW 进行网络监控。但是,我不清楚它如何监控注册表访问和进程/图像/线程事件?它是否也对这些使用 ETW?

0 投票
1 回答
365 浏览

windows-xp - XP/2003 上的 ETW 文件 IO 监控

我一直在调查 ETW 的进程/文件/注册表/网络监控。它看起来像在 Win7 上它拥有我需要的一切。但是,在 XP 上,它似乎缺乏相同级别的细节。具体来说,对于文件 IO,似乎只记录了“FileCreate”事件,并且进程创建事件没有给出完整路径。

是否可以确定何时使用 ETW 在 XP 上写入文件?流程启动事件的完整路径如何?

0 投票
1 回答
837 浏览

enterprise-library - 是否有可以从 Azure 表存储读取日志消息的日志查看器应用程序?

Microsoft 最近发布了Enterprise Library 6,其中包含新的语义日志块。Semantic Logging Block 提供的选项之一是能够将日志消息写入Windows Azure 表存储,这听起来像是在我的基于 Azure 的应用程序中实现日志记录的好方法。不幸的是,我不确定如何处理日志——是否有任何日志查看器可以从 Azure 表存储中检索日志条目?我想我基本上是在寻找一个监视 Azure 表存储而不是文件的“尾部”实用程序。

0 投票
5 回答
2112 浏览

.net-4.5 - 为什么在 EventSource 的子类上实现接口会在运行时抛出异常?

我正在尝试通过.NET 4.5 中包含的EventSource类在我的 .NET 应用程序中使用Windows 事件跟踪 (ETW) 。我将子类化为并尝试实现一个接口(用于模拟目的),如下所示:EventSourceMyEventSourceIMyEventSource

当我运行PerfView并执行此代码时,我收到了IndexOutOfRangeExceptionWriteEvent. 如果我通过修改代码来删除接口......

...然后一切正常。

这是我在这两种情况下用于测试的代码:

EventSource如果我的子类只是实现一个接口,为什么它会中断?

这是一个相关的帖子

0 投票
0 回答
458 浏览

windows - Winsock 跟踪无法获取详细级别事件

虽然使用 Windows-Winsock-AFD 开始信息级别跟踪非常容易,但使用:netsh trace start provider=Microsoft-Windows-Winsock-AFD TraceFile=my_winsock_log3_trace.etl

生成的文件似乎不包括详细级别的事件,例如“Select/Poll Posted”。我也试过:“netsh trace start provider=Microsoft-Windows-Winsock-AFD TraceFile=my_winsock_log3_trace.etl level=5”没有帮助(相同级别的事件)

有没有人能够以详细的方式开始 winsock 跟踪?

谢谢


12345678910