這是一篇摘要，原文在這里
Exploring and Decoding ETW Providers using Event Log Channels
(http://blogs.msdn.com/ntdebugging/archive/2009/09/08/exploring-and-decoding-etw-providers-using-event-log-channels.aspx)

這篇blog演示了一個使用ETW的例子，例子中筆者用ETW來trace IE.
trace IE對于現(xiàn)在的工作沒太大的意義，不過里面的一些信息比較有用。比如:
Windows提供了很多的ETW providers,如何找到合適的來解決問題？
在Windows什么地方可以開啟ETW log，什么地方可以查看log?
如何format/filter ETW log.

-----------------------我是分隔線，下面是筆記------------------------------------------
只是瀏覽了文章，并沒有實際的操作。所以只記下一些關(guān)鍵的命令，以后遇到一些實際的問題，可以當(dāng)作一些啟發(fā)。

1.Windows內(nèi)建了很多的ETW providers,許多software也注冊了很多ETW providers.如何查詢它們呢？
所有的providers
c:\>logman query providers
所有providers太多了，查查關(guān)鍵字
c:\>logman query providers | findstr /i "Internet"
查詢特定process的providers(by pid)
c:\>logman query providers -pid 6200

2.默認(rèn)大部分ETW providers是關(guān)閉的，如何開啟他們？
簡單的說就是在Event Viewer里面可以配置，原文中有圖，比較直觀。

3.開啟了providers,如何抓log并且dump它們呢。
Event Viewer可以save All Events As..
wevtutil命令也可以。
tracerpt命令提供了更加強大復(fù)雜的功能。
最有還可以用PowerShell腳本來做更加的復(fù)雜的處理。

4.最后一個是我最想知道的，往往知道了一個providers的GUID，他提供了很多flag和level.但是無法知道flag和level的意義。
C:\>logman query providers "XXXx YYYYY ZZZZ"

-------------------------------分隔線，下面是題外話-------------------------------------
以前從來不知道windows自帶的logman,都是一直使用更加專業(yè)的xperf.
我想xperf應(yīng)該都有類似的功能，只不過是xperf的doc太長了，一直沒有時間能夠通讀一遍。

?

轉(zhuǎn)載于:https://www.cnblogs.com/aoaoblogs/archive/2009/11/12/1602143.html

總結(jié)

以上是生活随笔為你收集整理的[blog摘要]Exploring and Decoding ETW Providers using Event Log Channels的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。