问题标签 [logman]

我正在对导致随机蓝屏的 NDIS 微型端口过滤器驱动程序进行故障排除。我为我的驱动程序启用了驱动程序验证程序。我还尝试使用以下命令通过logman收集我的驱动程序跟踪日志 -

logman create trace myndis -p {MY_GUID} -ct system -f bincirc -max 5000 -o C:\DriverTrace.etl

但问题是除非明确停止跟踪，否则logman不会写入文件。当 BSOD 发生时，我认为跟踪被杀死而不是被操作系统停止，这导致我的输出 etl 文件为空。

我尝试过-ft ::1每 1 秒将缓冲区刷新到文件中，但这似乎不起作用。我也尝试过-rtflag 但没有帮助。如何实现logman不断写入 etl 文件？

我们使用 实现结构化日志记录System.Diagnostics.Tracing.EventSource，并在收集跟踪时使用内联提供程序清单，以避免使用 EventRegister 和 wevtutil 的安装问题。我们将 EventSource 设计为以足够低的容量进行连续、持久的日志记录。我正在努力使用 Microsoft 提供的一系列 ETW 控制器来实现收集。我想定义一个 ETW 会话：

• 为我的 ETL 文件设置最大文件大小
• 当 ETL 文件达到最大大小时，滚动到具有递增版本/时间戳信息的新文件。我不想要覆盖旧事件的循环日志。我们将自行管理存档。
• 在每个新文件中从事件流的开头维护清单数据 - 请记住，我们使用的是内联提供程序清单。

我使用以下 logman 命令关闭了（指定的提供程序 guid 来自自定义事件源）：

logman start "Session" -p "{55a51afc-22e0-5581-6db2-01d5bbe42500}" -mode newfile -max 1 -o .\test%d.etl -ets

在 Perfview 中查看，生成的第一个 ETL 文件看起来很棒：

每个后续文件如下所示，大概是因为清单数据丢失了：

我可以向 logman 提供一个选项来满足我的第三个要求吗？Vance Morrison在他的博客中暗示ETW 支持 CaptureState 命令来重新发送清单数据：

循环缓冲区情况的解决方案是要求 EventSource 在跟踪结束时再次转储其清单（它肯定会在窗口中）。这只是需要的一堆“破败”的一个例子。ETW 通过“CaptureState”命令支持这一点。

如果 logman 无法做到这一点，那么其他 ETW 控制器之一能否满足我的所有要求？我对 perfview、windows 性能记录器、xperf、tracelog 或任何其他我错过的东西持开放态度。

我正在尝试使用 powershell 过滤 logman 命令的结果。我试图选择一个属性，使用 where-object 进行过滤，但似乎 logman 的结果（存储在数组中）无法通过它们的属性访问。以下是我迄今为止尝试过的一些命令：

我希望只过滤掉那些与我的本地服务结构模拟器有关的会话，这样我就可以掌握各种服务结构日志的存储位置。

有什么想法吗？

我试图从命令行运行 logman 命令。crate 计数器工作正常，但对于其他命令，如：-logman start datacollector 和 logman stop datacollector，我收到错误：- rpc 服务器不可用。

我想创建一个程序来跟踪来自提供程序“Microsoft-Windows-RPC”的事件日志。

微软的程序logman.exe是这样做的：

完成后，您可以像这样捕获日志：

我希望我的程序能够像这样做一样跟踪它logman，但我不明白如何。
是否有一个我可以“告诉”我希望它开始跟踪相关事件的窗口的功能Microsoft-Windows-RPC？