ETW 未将事件记录到通道(事件日志)
ETW not logging events to channel (event log)
我正在开展一个项目,使用基于清单的事件测试 ETW 跟踪。我很难理解的是为什么我在日志文件中看不到任何事件。
这是清单:
<?xml version="1.0" encoding="UTF-16"?>
<instrumentationManifest xsi:schemaLocation="http://schemas.microsoft.com/win/2004/08/events eventman.xsd" xmlns="http://schemas.microsoft.com/win/2004/08/events" xmlns:win="http://manifests.microsoft.com/win/2004/08/windows/events" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:trace="http://schemas.microsoft.com/win/2004/08/events/trace">
<instrumentation>
<events>
<provider name="WELTest-Provider" guid="{AAC04D94-4865-4C1A-9812-E2009390AAAB}" symbol="PROVIDER_GUID" resourceFileName="C:\Users\Robert\Documents\Visual Studio 2015\Projects\WELTest\x64\Debug\WELTest.exe" messageFileName="C:\Users\Robert\Documents\Visual Studio 2015\Projects\WELTest\x64\Debug\WELTest.exe">
<events>
<event symbol="Event1" value="1" version="1" channel="WELTest-Provider/Admin" level="win:Informational" task="Task1" message="$(string.WELTest-Provider.event.1.message)">
</event>
</events>
<tasks>
<task name="Task1" symbol="TASK_1" value="1" eventGUID="{7724744E-1BD0-45FB-8FB7-7A7176917C05}" message="$(string.WELTest-Provider.task.TASK_1.message)">
</task>
</tasks>
<channels>
<channel name="WELTest-Provider/Admin" chid="WELTest-Provider/Admin" symbol="WELTest_Provider_Admin" type="Admin" enabled="true" message="$(string.WELTest-Provider.channel.WELTest_Provider_Admin.message)">
</channel>
</channels>
</provider>
</events>
</instrumentation>
<localization>
<resources culture="en-US">
<stringTable>
.....
</stringTable>
</resources>
</localization>
</instrumentationManifest>
这是消息编译器 (MC.EXE) 使用参数 -um.
从清单生成的代码
#include "stdafx.h"
#include <windows.h>
#include <stdio.h>
#include <evntprov.h>
#include "WELTestManifest.h"
int main()
{
ULONG ulRet = EventRegisterWELTest_Provider();
if( ulRet != ERROR_SUCCESS )
{
printf( "EventRegisterWELTest_Provider returned with errror: %lu", ulRet );
return 1;
}
ulRet= EventWriteEvent1();
if( ulRet != ERROR_SUCCESS )
{
printf( "EventWriteEvent1 returned with errror: %lu", ulRet );
return 1;
}
EventUnregisterWELTest_Provider();
return 0;
}
然后我通过以下方式注册我的提供商:
wevtutil im WELTestManifest.man
当我运行这个命令时没有警告或错误。我运行上面的程序几次,它没有报告任何错误,一切似乎都有效。
然后我调查事件查看器以查看是否有任何事件已写入事件日志并且那里没有事件。
我是否遗漏了设置或参数?
使用 ETW 写入事件日志(文件)需要什么?
我找到解决办法了,你右击事件日志然后select"Enable logging"
我正在开展一个项目,使用基于清单的事件测试 ETW 跟踪。我很难理解的是为什么我在日志文件中看不到任何事件。
这是清单:
<?xml version="1.0" encoding="UTF-16"?>
<instrumentationManifest xsi:schemaLocation="http://schemas.microsoft.com/win/2004/08/events eventman.xsd" xmlns="http://schemas.microsoft.com/win/2004/08/events" xmlns:win="http://manifests.microsoft.com/win/2004/08/windows/events" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:trace="http://schemas.microsoft.com/win/2004/08/events/trace">
<instrumentation>
<events>
<provider name="WELTest-Provider" guid="{AAC04D94-4865-4C1A-9812-E2009390AAAB}" symbol="PROVIDER_GUID" resourceFileName="C:\Users\Robert\Documents\Visual Studio 2015\Projects\WELTest\x64\Debug\WELTest.exe" messageFileName="C:\Users\Robert\Documents\Visual Studio 2015\Projects\WELTest\x64\Debug\WELTest.exe">
<events>
<event symbol="Event1" value="1" version="1" channel="WELTest-Provider/Admin" level="win:Informational" task="Task1" message="$(string.WELTest-Provider.event.1.message)">
</event>
</events>
<tasks>
<task name="Task1" symbol="TASK_1" value="1" eventGUID="{7724744E-1BD0-45FB-8FB7-7A7176917C05}" message="$(string.WELTest-Provider.task.TASK_1.message)">
</task>
</tasks>
<channels>
<channel name="WELTest-Provider/Admin" chid="WELTest-Provider/Admin" symbol="WELTest_Provider_Admin" type="Admin" enabled="true" message="$(string.WELTest-Provider.channel.WELTest_Provider_Admin.message)">
</channel>
</channels>
</provider>
</events>
</instrumentation>
<localization>
<resources culture="en-US">
<stringTable>
.....
</stringTable>
</resources>
</localization>
</instrumentationManifest>
这是消息编译器 (MC.EXE) 使用参数 -um.
从清单生成的代码#include "stdafx.h"
#include <windows.h>
#include <stdio.h>
#include <evntprov.h>
#include "WELTestManifest.h"
int main()
{
ULONG ulRet = EventRegisterWELTest_Provider();
if( ulRet != ERROR_SUCCESS )
{
printf( "EventRegisterWELTest_Provider returned with errror: %lu", ulRet );
return 1;
}
ulRet= EventWriteEvent1();
if( ulRet != ERROR_SUCCESS )
{
printf( "EventWriteEvent1 returned with errror: %lu", ulRet );
return 1;
}
EventUnregisterWELTest_Provider();
return 0;
}
然后我通过以下方式注册我的提供商:
wevtutil im WELTestManifest.man
当我运行这个命令时没有警告或错误。我运行上面的程序几次,它没有报告任何错误,一切似乎都有效。
然后我调查事件查看器以查看是否有任何事件已写入事件日志并且那里没有事件。
我是否遗漏了设置或参数?
使用 ETW 写入事件日志(文件)需要什么?
我找到解决办法了,你右击事件日志然后select"Enable logging"