利用EventFlow监控本地机器上的ETW事件

Question

我试图设置一个简单的ETW和EventFlow示例，允许监视特定的ETW提供者。在这种情况下，服务控制管理器ETW提供程序将监视何时发出服务启动和停止消息。

我有下面的跟踪和ETW输入配置。

  "inputs": [
{
  "type": "Trace",
  "traceLevel": "Warning"
},
{
  "type": "ETW",
  "providers": [
    {
      "providerName": "Service Control Manager"
    }
  ]
}]

我有以下代码，它使用EventFlow启动监视。

static void Main(string[] args)
    {
        using (var pipeline = DiagnosticPipelineFactory.CreatePipeline("eventFlowConfig.json"))
        {
            System.Diagnostics.Trace.TraceWarning("EventFlow is working!");
            Console.ReadLine();
        }
    }

跟踪事件出现在控制台中，但当我启动和停止服务时，不会出现ETW事件。

EventFlow是针对本地机器上的这种场景设计的吗？如果是这样的话，我在配置或代码中遗漏了什么？

控制台进程以管理员身份运行，并且帐户有权访问Performance用户和Performance监视器组

Answer 1

如果要从服务控制管理器侦听ETW事件，则需要侦听名为Microsoft-Windows-Services.的提供程序

这是我在我的eventFlowConfig.json中拥有的

{
"inputs": [
    {
    "type": "ETW",
    "providers": [
        { "providerName": "Microsoft-Windows-Services" }
    ]
    }
],
"filters": [],
"outputs": [
    { "type": "StdOutput" }
],
"schemaVersion": "2016-08-11",
"extensions": []
}

为了检查它是否有效，我停止并启动了Server服务。事件按预期的方式在控制台中输出。

作为额外的正常检查，您可以使用Visual 诊断事件查看器侦听ETW事件。启动查看器，单击cog进行配置，在ETW提供程序列表中添加提供程序名称，然后应用。现在，您应该能够在查看器和控制台应用程序中看到相同的事件。