Blog
About
GitHub
العربية AR-SA
- English
- 繁體中文
- 日本語
- 한국어
- العربية
- Deutsch
- Français
- हिंदी
- Español
- Português
- Русский
- Italiano
- Bahasa Indonesia
- Türkçe
- Nederlands
- Polski
- العربية
- 简体中文

Memahami Pelacakan Peristiwa Windows_ETW

Friday, June 28, 2024

Tags:

Categories:

Sistem

Memahami Pelacakan Peristiwa Windows_ETW

Memahami ETW

Menyaring beberapa informasi yang tidak perlu, dokumen lengkap lihat di: https://docs.microsoft.com/en-us/windows/win32/etw/event-tracing-portal

Memahami Dasar-dasar

https://learn.microsoft.com/en-us/windows/win32/etw/about-event-tracing

Arsitektur

Session

Ada empat jenis session

Jenis session	Penggunaan	Pembatasan	Fitur
Event Tracing Session(Standard ETW)	1. EVENT_TRACE_PROPERTIES2. StartTrace, membuat session3. EnableTrace 1. EnableTrace untuk classic provider 2. EnableTraceEx untuk manifest-based provider4. ControlTrace menghentikan session	- Sebuah manifest-based provider hanya mendukung memberikan peristiwa ke maksimal 8 session- Sebuah classic provider, hanya dapat melayani satu session.- Perilaku provider session adalah yang terbaru yang berlaku.	ETW standar.
SystemTraceProvider Session	1. EVENT_TRACE_PROPERTIES->EnableFlags2. StartTrace3. ControlTrace menghentikan session	- SystemTraceProvider adalah sebuah provider peristiwa kernel, menyediakan satu setperistiwa kernel yang telah ditentukan.- NT Kernel Logger sessionadalah session yang telah ditentukan oleh sistem, mencatat serangkaian peristiwa kernel yang telah ditentukan oleh sistem- Win7/WinServer2008R2hanya NT Kernel Logger session yang dapat menggunakan SystemTraceProvider - Win8/WinServer2012SystemTraceProvider dapat memberikan peristiwa kepada8 logger session, di mana dua session telah ditentukan sebagai NT Kernel Logger dan Circular Kernel Context Logger.- Win10 20348dan seterusnya, masing-masing Systerm provider dapat dikontrol secara terpisah.	Mendapatkan peristiwa kernel sistem yang telah ditentukan.
AutoLogger session	1. Mengubah registri 2. EnableTraceEx3. ControlTrace menghentikan session	- Global Logger Sessionadalah session khusus independen, mencatat peristiwa saat sistem dinyalakan.- AutoLogger biasa harus mengaktifkan provider sendiri, GlobleLogger tidak perlu.- AutoLogger tidak mendukung peristiwa NT Kernel Logger, hanya GlobalLogger yang mendukung.- Mempengaruhi waktu startup, gunakan secara terkendali	Mencatat peristiwa selama startup sistem operasi
Private Logger Session	-	- User-mode ETW- Hanya digunakan dalam proses- Tidak termasuk dalam batas paralel 64 session.	Pribadi proses

Alat

logman
wevtutil
- Contoh xpath query: wevtutil qe Security /c:2 /q:"*[System[EventID=5157]]" /f:text
tracelog
- Menggunakantracelogalat visual studio, dapat menambahkan dan menghapus ETW Provider secara dinamis saat runtime, serta menambahkan dan menghapus ETW Session secara dinamis
mc
etw-providers-docs