Event Tracing for Windows(ETW) - 前言 事件跟踪 译(1)

ETW在用户态的应用
最新推荐文章于 2025-06-04 21:15:06 发布
翻译 最新推荐文章于 2025-06-04 21:15:06 发布 · 1.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:https://docs.microsoft.com/en-us/windows/win32/etw/event-tracing-portal
文章标签:

#Windows #ETW #c++

本文档详述了Event Tracing for Windows (ETW)如何用于用户态应用程序中,包括其基本概念、如何使用ETW进行事件跟踪和性能分析,以及在.NET中处理ETW跟踪的方法。

Event Tracing

原文链接
作者:Microsoft
译者:塔塔塔塔塔

意欲

ETW(Event Tracing for Windows) 为应用程序提供开始和停止事件跟踪的会话,在会话中对应用进行检测以提供跟踪事件使用跟踪事件的能力。跟踪事件包含事件头信息和提供者定义的数据用来描述当前程序或操作的状态。你可以使用事件来调试程序的运行能力和性能分析。
这篇文档是针对应用在用户态下使用ETW.关于检测驱动设备在内核态的运行信息,查看Windows驱动程序开发包(Windows Driver Kit WDK)下的 WPP Software Tracing 和 Adding Event Tracing to Kernel-Mode Driver。

适用范围

当你想让应用程序记录用户或内核事件到日志文件并且使用这些日志文件或运行时信息时你可以选择使用ETW。

开发者

ETW是为编写用户态的C或C++应用程序开发设计的。

运行环境要求

ETW是包含在Microsoft Windows 2000 和之后的版本,关于选择操作系统支持一些特别功能的相关信息请查看功能文档中Requirements(要求)部分。

在 .Net 中处理ETW的跟踪

你可以使用 [.NET TraceProcessing API] 去分析你的应用和其他软件组件中的ETW跟踪。在Microsoft内会使用这个API去分析ETW提供的Windows工程系统数据,并且它还在Windows Performance Analyzer 中提供多个表进行使用。这个API可以从NuGet 包中获取。

译者叙

现在Google翻译已经很强大了,单纯的翻译其实也没有将文档解释的更好理解,所有针对一些作者认为难以理解的地方我会补充一些,必要时我会配上流程图等使用说明。后面可能会设计到一些代码和文档的关键词交叉的地方,作者也会使用术语来代替一些中文进行描述,这里列出来以便对比理解。翻译不易,如能提供建议我会非常感激。

关键词术语
ETWEvent Tracing for Windows
会话Session
事件跟踪会话Session
事件Event
提供者Provider
经典模式提供者Classic Provider
基于清单的提供者Manifest Provider
使用者Consume
控制器Controller
启用Enable
停用Disable
Malware Dev 04 - 隐匿之 ETWEvent Tracing for Windows)Bypass
0pr
03-06 2928
这篇文章通过对 clr.dll,advapi32.dll,以及 ntdll.dll 的简单逆向,解析了 ETWEvent Tracing for Windows)的整体调用链。之后,我们介绍了两种 ETW 的绕过方式。一种是 patch EtwEventWrite 方法,另一种是 patch NtTraceEvent 方法。同时,配合 SilkETW,我们对两种绕过方式进行了成功验证。
Production Tracing with Event Tracing for Windows (ETW) - MSBuild 2017 - Slides-计算机科学
04-22
在深入探讨使用Windows事件跟踪ETW)进行生产跟踪这一主题之前,我们需要了解ETW技术的基本概念。ETW是一种高效率的事件记录架构,用于跟踪操作系统、驱动程序、服务、应用程序等组件的运行时行为。它通过为开发者...
(ETW) Event Tracing for Windows 入门 (含pdf下载)
weixin_34126557的博客
05-30 677
  内容提纲 • ETW 介绍 • ETW 使用 • ETW 监控本机Demo • ETW 监控远程机器的思路 • 底层类库:EventSource 介绍 • 底层类库:TraceEvent 介绍 ETW 是什么? 1.Event Tracing for Windows (ETW):是由操作系统提供的一种通用的,系统开销较低(与性能日志和警报相比)事件追踪手段,用以监控具有负载...
Event Tracing for Windows
weixin_30851867的博客
08-10 359
突然ですが、皆さんは、馬に乗ったことはありますか?・・・このお話にご興味のある方は本文の最後の【閑話休題】までどうぞ。 さて、今回は、 Event Tracing for Windows (ETW) についてお話ししようと思います。ドライバ開発者の方にとって、なぜ、 ETW が必要なのでしょうか?読者の皆様にもご経験があるかもしれませんが、エンドユーザ様の運用環境の現象を、開発側...
Windows开发】Windows 事件跟踪 (ETW)
最新发布
阿東啊、
06-04 2209
Windows 事件跟踪ETW)是一项内置功能,最初旨在提供详细的用户和内核日志记录。如今 ETW 被开发者、安全研究者、EDR 厂商广泛使用,常见的免杀工具都实现了ETW绕过模块,例如 Havoc 具有ETW patch功能、Ladon实现了etw unhook、Github能搜到诸多相关代码。本文整理ETW的基本概念,基于 TraceLoggingAPI 实现,给出了ETW绕多的简单实现并完成了相关实验。
Event Tracing for Windows(ETW) - 事件跟踪下控制器与会话 (6)
勿以恶小而为之,勿以善小而不为
05-14 772
Controlling Event Tracing Sessions 原文链接 作者:Microsoft 者:塔塔塔塔塔 Session 记录来自一个或多个Provider的Event。Controller定义Session并启用Provider。定义Session通常包括指定Session名字和日志文件,及要使用的日志文件的类型以及用于记录Event的时间戳的分辨率(resolution of the time stamp)。控制器还可以更新和查询Session。 以下主题演示了如何定义和更新Sessi
精选资源
Analyzing your game performance using Event Tracing for Windows-计算机科学
04-22
Event Tracing for WindowsEvent Tracing for Windows (ETW) is a kernel-level tracing mechanism that logs various system events to a log file. This log can then be viewed to debug your application or ...
iis-etw-tracing:IIS 8.5 ETW跟踪
05-15
IIS 8.5(Windows Server 2012 R2)支持将W3SVC日志写入传统的基于文本的W3C日志文件(或作为替代方法)到ETWWindows事件跟踪)。 您可以阅读有关此功能的更多信息。 这为以更紧凑的格式处理日志事件,以及为近...
How to use Event Tracing for Windows for Performance Analysis-计算机科学
04-22
How To Use Event Tracing For Windows For Performance AnalysisOutlineWhy use Event Tracing?How to use Event TracingEvent Tracing vs. PerfCountersWhat events should be loggedAn exampleThe kernel ...
windows ETW training course
02-10
this is the ETW overview training course, and will give you are brief introduction of how to use ETW.
Event Tracing for Windows(ETW) - 进行事件跟踪 (3)
勿以恶小而为之,勿以善小而不为
05-13 3036
About Event Tracing 原文链接 作者:Microsoft 者:塔塔塔塔塔 ETW是高性能的内核级跟踪工具,它让我们记录内核或应用定义的事件到一个日志文件。你可以是实时或从日志文件中使用Event去调试应用程序或确定应用程序的性能问题的位置。 ETW可以让我们来动态的Enable 或Disable事件跟踪,从而在生产环境执行详细的跟踪而不需要重启电脑或应用程序。 事件跟踪分为三个部分: Controllers,开启和停止Event Tracing Session 和 Enable Pro
Event Tracing For Windows
weixin_30488313的博客
09-29 252
https://blogs.msdn.microsoft.com/oanapl/2009/08/04/etw-event-tracing-for-windows-what-it-is-and-useful-tools/ https://www.codeproject.com/articles/570690/application-analysis-with-event-tracing-for-w...
Event Tracing for Windows(ETW) - 事件跟踪会话 (4)
勿以恶小而为之,勿以善小而不为
05-13 858
Event Tracing Sessions 原文链接 作者:Microsoft 者:塔塔塔塔塔 Controller启用Event Tracing Session从一个或多个Provider记录Event。Session还负责管理和刷新缓冲区。Controller定义会话,包括指定Session和日志文件名,要使用的日志文件的类型以及用于记录Event的时间戳的Resolution(?)Event Tracing最多支持同时执行64个Session。在这些Sessions中,有两个特殊目的Sessi
Event Tracing for Windows(ETW) - 使用事件跟踪 (5)
勿以恶小而为之,勿以善小而不为
05-13 526
Using Event Tracing 原文链接 作者:Microsoft 者:塔塔塔塔塔 下面主题描述了如何使用ETW API进行事件跟踪。 主题 描述 控制 事件跟踪的Session 描述如何管理事件跟踪会话 提供 Event 描述如何注册和检测一个Event Trace Provider 消耗 Event 描述如何实现用于从跟踪日志文件或实时使用和处理事件的回调函数 Windows Software Trace Preprocessor 提供一种有效的机制来记录和使用在应
Event Tracing for Windows(ETW) - 代码示例:创建会话和启动基于清单的提供者 (8)
勿以恶小而为之,勿以善小而不为
05-14 974
Example that Creates a Session and Enables a Manifest-based or Classic Provider 原文链接 作者:Microsoft 者:塔塔塔塔塔 以下示例显示了如何启动跟踪会话,启用基于清单的提供程序或经典提供程序,禁用提供程序然后停止会话。 #include <windows.h> #include <stdio.h> #include <conio.h> #include <strsafe.h&
Event Tracing for Windows(ETW) - 配置并开始事件跟踪的会话 (7)
勿以恶小而为之,勿以善小而不为
05-14 1519
Configuring and Starting an Event Tracing Session\ 原文链接 作者:Microsoft 者:塔塔塔塔塔 配置Session,使用EVENT_TRACE_PROPERTIES结构体指定Session的属性。为EVENT_TRACE_PROPERTIES结构体分配的内存必须足够大,以包含结构下的的Session和日志文件名。 指定Session的属性后,调用StartTrace函数以启动Session。如果该函数成功,则SessionHandle参数将包含Se
windows内核开发学习笔记四十六:事件追踪(ETW
jyl_sh的专栏
07-07 5090
Windows提供了统一的跟踪和记录事件的机制,称为ETWEvent Tracing For Windows)。用户模式应用程序和内核模式驱动程序都可以使用ETW来记录事件ETW是直接由内核支持的事件记录机制。在它的框架结构中,共有三种组件: 控制器(Control):负责启动、停止或配置事件记录会话。 提供者(Provider):负责向ETW注册自己的事件类,并接受控制器的命令,以便启动或者停止它们所负责的事件类的记录过程。 消费者(Consumer):负责有针对性地读取它们想要...
Event Tracing for Windows(ETW) - 提供者 (9)
勿以恶小而为之,勿以善小而不为
05-18 381
Providing Events 原文链接 作者:Microsoft 者:塔塔塔塔塔 Provider是包含事件跟踪检测的应用程序。Provider进行注册后,Controller 便可以在Provider 中启用或禁用事件跟踪。Provider定义其对启用或禁用的解释(interpretation)。通常,启用 Provider 会生成事件,而禁用 Provider 则不会。这让我们添加事件跟踪时不需在所有时间生成事件。 本节向内容: 写Event 写相关Event 发布Evnet 概要与consum
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值