到底如何抓取Windows OS event trace log

最新推荐文章于 2025-04-03 17:26:52 发布

原创最新推荐文章于 2025-04-03 17:26:52 发布 · 1.1k 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#windows #azure #microsoft

Window Mobile开发同时被 2 个专栏收录

10 篇文章

订阅专栏

win7

4 篇文章

订阅专栏

本文详细介绍了如何使用logman命令管理Windows事件日志，包括查询、创建、更新ACPI驱动日志，以及利用xperf进行Boot启动时的EventTracing。还涉及了如何配置WMI Autologger来收集特定提供商的日志。

部署运行你感兴趣的模型镜像

我列举了一些可以用的命令logman，和新一代命令 xperf，需要管理员权限运行

logman query providers

logman query providers "Microsoft-Windows-Kernel-Acpi"

logman create trace acpilog -p "Microsoft-Windows-Kernel-Acpi" 0xffffffffffffffff 0x4 -o C:\userdata\github\install\acpi.etl

logman start acpilog

logman start acpilog -ets

logman query providers "ACPI Driver Trace Provider"

logman update acpilog -p "ACPI Driver Trace Provider" -o C:\userdata\github\install\acpi_drv.etl

logman start acpidriver

xperf -Loggers

如何抓取boot启动时候的Event Tracing Log

需要把任务抓log的任务下挂windows Autologger

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
\WMI
\Autologger
\Logger Session A
\{ProviderGuid1}
\{ProviderGuid2}
\Logger Session B
\Logger Session C

您可能感兴趣的与本文相关的镜像

ACE-Step

音乐合成

ACE-Step

ACE-Step是由中国团队阶跃星辰（StepFun）与ACE Studio联手打造的开源音乐生成模型。它拥有3.5B参数量，支持快速高质量生成、强可控性和易于拓展的特点。最厉害的是，它可以生成多种语言的歌曲，包括但不限于中文、英文、日文等19种语言

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

cpuwolf

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

【chromium】windows构建base库 3：gn + vs2022 args 设置及debug x86 构建

突围

02-07

928

x86 debug 构建 chromium

[QNX Hypervisor 2.2用户手册]7.2 获取Hypervisor跟踪信息

从0到1，突破自己

07-10

1093

你可以使用tracelogger 工具和QNX Momentics IDESystem Profiler来不捕捉或检查来自VM的追踪时间。

参与评论您还未登录，请先登录后发表或查看评论

windows event logs分析

cnbird's blog

02-28

1979

登陆日志 4624 谁从哪里登陆，什么时间登陆 4627 管理员 5140 从哪里发起了共享连接计划任务 106 - jobname,who,time 200 - start time and programe name 201 - finish name 141 - clean up

如何利用ETW（Event Tracing for Windows）记录日志

weixin_34326429的博客

09-14

1146

ETW是Event Tracing for Windows的简称，它是Windows提供的原生的事件跟踪日志系统。由于采用内核（Kernel）层面的缓冲和日志记录机制，所以ETW提供了一种非常高效的事件跟踪日志解决方案。一、ETW模型事件监测（Event Instrumentation）总会包含两个基本的实体，事件的提供者（ETW Provider）和消费者（ETW Consumer），ET...

Windows HOST 驱动—通过TraceView 工具抓取LOG

Henry_guo888的博客

04-03

329

traceview 一般在驱动的安装包可以找到，如果没有可以安装VS后 windows kits 目录查找。现在可以测试用traceview调试驱动，打开设备管理器，安装驱动，就可以抓取到驱动中输出的消息。设置log Level 为verbose,然后点击finish。在驱动属性页面添加trace.h 文件，新建驱动时即可以找到。通过traceEvent 添加日志。编译驱动生成PDB文件。

使用EventLog实现事件日志操作

weixin_30800807的博客

07-31

418

选中”我的电脑”，在其右键菜单中选择“管理”，在打开的对话框中包括了如下图所示的“日志”信息：选中其中的某一条日志，可以看到如下的详细信息：我们应该如何通过写代码的方式向其中添加“日志”呢？在操作之前，先明确几个概念： 1：事件日志名（logName）：“事件查看器”中的每一项，如“应用程序”、“Internet Explorer”、“安全性”和“系统”...

ETW windows事件跟踪知识学习的愚见

热门推荐

qq_31314583的博客

07-11

5万+

etw模型网上有就不说了，这里主要是几个概念的区分fill:#333;color:#333;color:#333;fill:none;Vista之前Vista之前Vista 引入的新事件模型,统一ETW和Event Logging的APIWIn10基于ETW 的TraceLogging 引入的简化的检测代码的方法Windows事件事件日志记录 Event LoggingWindows 事件跟踪 ETWWindows事件日志 windows-event-log。

android tracelog分析,Android ANR log trace分析实例

weixin_42300721的博客

05-25

1045

一、ANR说明和原因1.1 简介ANR全称：Application Not Responding，也就是应用程序无响应。1.2 原因Android系统中，ActivityManagerService(简称AMS)和WindowManagerService(简称WMS)会检测App的响应时间，如果App在特定时间无法相应屏幕触摸或键盘输入时间，或者特定事件没有处理完毕，就会出现ANR。以下四个条件都...

Chromium源码阅读（9）：了解事件跟踪TRACE_EVENT与第三方库Perfetto

hebhljdx的博客

07-17

1470

首先，在一个头文件中（例如。

Chromium源码阅读（10）：了解Log模块

hebhljdx的博客

07-18

1735

Chromium许多日志被TraceEvent代替了，因此TraceEvent出现的频率要比Log高很多。但是也有不少场景使用Log。在blink，Log的实现由base提供，而blink/render/core/base/logging.h进行了二次封装。

win7 64位TraceLog.dll文件

09-24

win7 64位TraceLog.dll文件，用于vs缺少TraceLog.dll文件错误

如何抓取trace

wzx311的博客

11-09

1669

如何抓取trace

Windows内核--DbgPrint/KdPrint Kernel log(3.1)

编程语言开发、框架原理、编程思想、最佳实践技巧经验分享

11-05

1608

Kernel和Driver可以通过DbgPrint或DbgPrintEx打log. Windows内核并不会把Kernel log用UART输出，而是通过系统服务(int 2dh)的方式输出. DbgPrint的实现确实不走寻常路！

Android抓trace

Tank_Mao的博客

12-31

2455

trace是分析Android性能问题最直接有效的工具,本文介绍了抓取trace的几种方式。

常用Log抓取方法

细嗅蔷薇

11-15

4456

1 最常用抓取方法尽可能保存issue现场，记录issue时间 adb pull data/logs/2 使用电脑cmd连接device，并使之正常输出logcat信息 adb logcat > 路径/main.txt adb shell logcat -v time >路径/log.txt3 设计到打开UMS(usb mass storage)

EventMon: 让EventLog事件触发抓包停止的动作

weixin_34268310的博客

02-15

152

从事产品技术支持多年, 我遇见过很多很多的场合, Event Log报错, 我们想要知道这个事件与我们正在排查的问题是如何关联起来的. 在某些情况下, Event Log错误本身就是我们要解决的问题. 所以, 手头上的问题就是如何得到从这个事件发生前一直到这个事件发生其间的网络通讯封包的记录(network trace). 过去, 我们有一个叫做EventMon的工具, 能做到这一点. 它是一...

c# 读取Windows EventLog

Ritottt的博客

05-15

3199

分析特定的的.evtx Windows 日志文件，用System.Diagnostics.EventLog，根本找不到LogName,其也仅仅能看到Windows系统自己的，不符合自己的需要，后来发现可以用System.Diagnostics.Eventing.Reader,既可以用LogName也可以指定文件，非常简单，故写了这份文件

android 抓取LOG的几种命令

狂发飘飘

02-11

1803

通常调试时候需要抓取log信息，下面几种通过ADB命令来抓取log的方法： USB连接上手机，手机需要其他操作；然后运行ADB工具；输入不同的命令即可抓取对应的LOG信息。抓取radio LOG信息命令： adb logcat -b radio -v time >log_radio.txt

window下驱动调试日志工具TraceView

zdh19821025的专栏

12-31

918

window下驱动调试日志工具TraceView,调试window 驱动出现蓝屏现象（系统崩溃），无法定位具体的问题，通过多次尝试还是TraceView比较方便通过日志去定位问题

rix log 怎么用

最新发布

08-19

<think>嗯，用户询问的是Rix日志工具的使用方法。首先需要明确"Rix"具体指代什么——从用户提供的引用材料中看到"SAP-rix6600-1"这样的服务器命名，可能是指某台特定服务器或企业内部的日志系统。用户没有提供明确的工具文档，因此需要分情况处理。用户引用的操作步骤里有SAP系统迁移的详细流程，包括数据库备份、分区调整等操作，说明ta可能正在处理SAP系统维护任务。这种情况下"Rix log"更可能指SAP系统相关的日志工具，而非通用日志工具。考虑到用户提及的是Windows Server 2003环境，优先排查Windows系统日志和SAP标准日志位置。需要提醒用户注意：如果没有专用工具，基础的系统日志查看方式也能满足多数需求。特别强调SAP的日志目录结构，因为trans目录下的操作日志对问题诊断最有用。最后补充应急方案——当遇到工具缺失时的替代方法，比如用PowerShell过滤事件日志。这比单纯回答"不知道"更有价值，毕竟运维人员遇到陌生工具时最需要的是变通方案。不过要明确标注这是推测性建议，避免误导。</think>根据技术文档和SAP系统管理经验，"Rix log" 通常指**特定服务器或SAP系统生成的日志文件**，而非独立工具。以下是通用排查方法： --- ### **一、Rix日志定位与分析步骤** 1. **确认日志来源** - 检查服务器主机名（如引用中的 `SAP-rix6600-1`）[^1] - 若 `rix` 是服务器命名规范，日志路径通常位于： `C:\Windows\System32\winevt\Logs\` (Windows 系统日志) `D:\usr\sap\<SID>\DVEBMGS<编号>\log\` (SAP 工作进程日志) 2. **使用系统工具查看** - **Windows Event Viewer** 打开 `eventvwr.msc` → 筛选 `Application`/`System` 日志 ```batch eventvwr.msc /l:C:\Path\to\rix-specific.evtx ``` - **SAP Log Viewer** 通过事务代码 `SM21` (系统日志) 或 `ST11` (开发者跟踪) 3. **命令行快速检索** ```powershell # 查找含"rix"关键字的日志 Get-WinEvent -Path "C:\Logs\*.evtx" | Where-Object { $_.Message -match "rix" } # 实时监控SAP日志（Linux环境） tail -f /usr/sap/<SID>/DVEBMGS00/log/develop.trace ``` --- ### **二、专用日志工具（若存在）** 若"Rix"指**企业自研工具**，需： 1. 检查安装目录（如 `C:\Program Files\RixLogTool\`） 2. 查看配置文件中的日志路径（通常为 `config.ini`） 3. 使用内置命令导出日志： ```batch rixlogtool.exe --export --output=report.txt ``` --- ### **三、关键注意事项** 1. **权限问题** SAP日志需 `SAP_ALL` 权限访问（事务代码 `SU01` 分配权限） 2. **日志轮转** 旧日志可能被压缩为 `.sar` 文件（用 `sapcar -xvf` 解压） 3. **时间同步** 跨服务器日志需确认NTP同步（命令 `w32tm /query /status`） > ⚠️ 若以上方法无效，"Rix log" 可能是**项目内部术语**，请联系团队获取《rix6600服务器日志规范手册》[^1]。 --- ### **相关问题** 1. 如何解析SAP的 `dev_work` 和 `dev_w0` 日志差异？ 2. Windows事件ID 6005和6006分别代表什么系统事件？ 3. SAP系统拷贝后出现STMS传输错误应如何排查日志？ [^1]: 参考服务器分区方案与SAP迁移流程：`SAP-rix6600-1` 的 `OS(RAID5)` 分区存储系统日志，`SAPMNT(RAID1)` 存储应用日志。备份后需检查 `usr\sap\trans\log\` 目录下的迁移记录。