विंडोज़ इवेंट ट्रेसिंग समझना_ETW
Categories:
- विंडोज़ इवेंट ट्रेसिंग समझना_ETW
ETW को समझना
कुछ अनावश्यक जानकारी को छान लिया गया है, पूर्ण दस्तावेज़ देखें: https://docs.microsoft.com/en-us/windows/win32/etw/event-tracing-portal
मूल बातों को समझना
https://learn.microsoft.com/en-us/windows/win32/etw/about-event-tracing
Session
चार प्रकार के session होते हैं
| session प्रकार | उपयोग | सीमाएं | विशेषताएं |
|---|---|---|---|
| इवेंट ट्रेसिंग सत्र(स्टैंडर्ड ETW) | 1. EVENT_TRACE_PROPERTIES2. StartTrace, session बनाना3. EnableTrace 1. EnableTrace for classic provider 2. EnableTraceEx for manifest-based provider4. ControlTrace session रोकना | - एक manifest-based प्रदाता केवल अधिकतम 8 session को इवेंट प्रदान कर सकता है- एक classic प्रदाता, केवल एक session की सेवा कर सकता है.- session प्रदाता को अधिकार देने का व्यवहार नया आने वाला है. | स्टैंडर्ड ETW. |
| SystemTraceProvider Session | 1. EVENT_TRACE_PROPERTIES->EnableFlags2. StartTrace3. ControlTrace session रोकना | - SystemTraceProvider एक कर्नेल इवेंट प्रदाता है, जो पूर्व-निर्धारित कर्नेल इवेंट का एक सेट प्रदान करता है.- NT Kernel Logger session एक प्री-कॉन्फ़िगर्ड सत्र है जो एक श्रृंखला के लिए रिकॉर्ड करता हैसिस्टम प्री-कॉन्फ़िगर्ड कर्नेल इवेंट- Win7/WinServer2008R2 में केवल NT Kernel Logger session SystemTraceProvider के लिए उपयोग किया जा सकता है- Win8/WinServer2012 में SystemTraceProvider 8 लॉगर सत्रों को इवेंट प्रदान कर सकता है, जिनमें से दो NT Kernel Logger और Circular Kernel Context Logger के लिए आरक्षित हैं.- Win10 20348 के बाद, विभिन्न System प्रदाता को अलग से नियंत्रित किया जा सकता है. | सिस्टम कर्नेल पूर्व-निर्धारित इवेंट प्राप्त करना. |
| AutoLogger session | 1. रजिस्ट्री संपादित करें 2. EnableTraceEx3. ControlTrace session रोकना | - Global Logger Session एक विशेष स्वतंत्र session है, जो सिस्टम बूट के दौरान इवेंट को रिकॉर्ड करता है.- सामान्य AutoLogger को प्रदाता को सक्षम करने की आवश्यकता है, GlobleLogger को नहीं.- AutoLogger NT Kernel Logger इवेंट का समर्थन नहीं करता है, केवल GlobalLogger करता है.- बूट समय को प्रभावित करता है, संयम में उपयोग करें | ऑपरेटिंग सिस्टम बूट के दौरान इवेंट रिकॉर्ड करना |
| Private Logger Session | - | - User-mode ETW- केवल प्रोसेस के अंदर उपयोग किया जा सकता है- 64 session समानांतर सीमा में शामिल नहीं है. | प्रोसेस निजी |
उपकरण
- logman
- wevtutil
- xpath प्रश्न उदाहरण:
wevtutil qe Security /c:2 /q:"*[System[EventID=5157]]" /f:text
- xpath प्रश्न उदाहरण:
- tracelog
- viusal studio के
tracelogउपकरण का उपयोग करके, आप रनटाइम पर गतिशील रूप से ETW Provider और ETW Session जोड़ और हटा सकते हैं
- viusal studio के
- mc
- etw-providers-docs