這是一篇摘要，原文在這里
Exploring and Decoding ETW Providers using Event Log Channels
(http://blogs.msdn.com/ntdebugging/archive/2009/09/08/exploring-and-decoding-etw-providers-using-event-log-channels.aspx)

這篇blog演示了一個(gè)使用ETW的例子，例子中筆者用ETW來(lái)trace IE.
trace IE對(duì)于現(xiàn)在的工作沒(méi)太大的意義，不過(guò)里面的一些信息比較有用。比如:
Windows提供了很多的ETW providers,如何找到合適的來(lái)解決問(wèn)題？
在Windows什么地方可以開(kāi)啟ETW log，什么地方可以查看log?
如何format/filter ETW log.

-----------------------我是分隔線，下面是筆記------------------------------------------
只是瀏覽了文章，并沒(méi)有實(shí)際的操作。所以只記下一些關(guān)鍵的命令，以后遇到一些實(shí)際的問(wèn)題，可以當(dāng)作一些啟發(fā)。

1.Windows內(nèi)建了很多的ETW providers,許多software也注冊(cè)了很多ETW providers.如何查詢它們呢？
所有的providers
c:\>logman query providers
所有providers太多了，查查關(guān)鍵字
c:\>logman query providers | findstr /i "Internet"
查詢特定process的providers(by pid)
c:\>logman query providers -pid 6200

2.默認(rèn)大部分ETW providers是關(guān)閉的，如何開(kāi)啟他們？
簡(jiǎn)單的說(shuō)就是在Event Viewer里面可以配置，原文中有圖，比較直觀。

3.開(kāi)啟了providers,如何抓log并且dump它們呢。
Event Viewer可以save All Events As..
wevtutil命令也可以。
tracerpt命令提供了更加強(qiáng)大復(fù)雜的功能。
最有還可以用PowerShell腳本來(lái)做更加的復(fù)雜的處理。

4.最后一個(gè)是我最想知道的，往往知道了一個(gè)providers的GUID，他提供了很多flag和level.但是無(wú)法知道flag和level的意義。
C:\>logman query providers "XXXx YYYYY ZZZZ"

-------------------------------分隔線，下面是題外話-------------------------------------
以前從來(lái)不知道windows自帶的logman,都是一直使用更加專業(yè)的xperf.
我想xperf應(yīng)該都有類似的功能，只不過(guò)是xperf的doc太長(zhǎng)了，一直沒(méi)有時(shí)間能夠通讀一遍。

?

轉(zhuǎn)載于:https://www.cnblogs.com/aoaoblogs/archive/2009/11/12/1602143.html

總結(jié)

以上是生活随笔為你收集整理的[blog摘要]Exploring and Decoding ETW Providers using Event Log Channels的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。