windows - 将 ETW 事件记录到事件查看器
问题描述
我有一个 Windows minifilter 驱动程序,它配置了一个定义 ETW 事件的 XML 清单。例如,使用 TraceView.exe,我可以创建跟踪会话并成功记录来自驱动程序的事件。
我希望驱动程序在事件查看器中记录事件,以便在事件发生后查看它们 - 无需手动启动/停止跟踪会话。
我尝试在清单中使用 ImportChannel 来指定应用程序或系统日志(如此处建议的https://docs.microsoft.com/en-us/windows-hardware/drivers/devtest/adding-event-tracing-to- kernel-mode-drivers),但没有记录任何事件。
如果我在清单中定义了一个新通道,例如默认启用的“MyApp/Events”,它会出现在事件查看器的“应用程序和服务日志”下,但没有记录任何事件。
我认为我缺少有关事件查看器的一些基本内容,但无法找到对这种情况的清晰描述。任何想法都非常感谢。
解决方案
推荐阅读
- python - 当我按下一个键时,pygame 内部会发生什么?何时使用 pygame.event==KEYDOWN
- docker - Traefik 请求中缺少前缀
- php - 使用 PHP 在 MongoDB 中的数百万行。我们如何才能更快地检索和显示它?
- xml - PL/SQL 中的 XMLPATCH?
- spring-boot - 做 FLux.zip 时如何区分发布者?
- c++ - 序列容器 - 为什么所有容器都没有所有方法
- django-views - Django parent.child_set 没有错误但没有在 html 中显示
- android - 条码和二维码扫描不适用于 CameraX / ZXing
- typescript - 打字稿:发出编译时警告以避免提交临时更改
- node.js - Yarn 安装中的文件意外结束