如何使用logman.exe在W2K8上创建事件跟踪？

Question

出于各种原因，我想了解一些Windows 2008机器上的磁盘访问情况。

我可以在可靠性和性能监视器工具中设置一个用户定义的数据收集器，使用"Windows内核跟踪“提供程序("disk”子选项)创建事件跟踪，这很好。

但是，我真的很想使用logman.exe命令来自动化它。我想说，日志管理员的文档是稀疏的。(如果有一些很棒的文档，我将非常感谢有一个指针！)我尝试使用这两个命令和-ets选项，同时使用logman create trace <name> <params>/logman start <name>和-ets-only logman start <name> <params> -ets方法。

我尝试过的一切似乎都没有用：

C:\>mkdir \tracedata

C:\>logman create trace DiskTr1 -p "Windows Kernel Trace" disk -o "C:\tracedata\DiskTr1"
The command completed successfully.

C:\>logman start DiskTr1

Error:
The session name provided is invalid.

C:\>logman start DiskTr2 -p "Windows Kernel Trace" disk -o "C:\tracedata\DiskTr2" -ets

Error:
The session name provided is invalid.

C:\>logman create trace DiskTr3 -p "Windows Kernel Trace" disk -o "C:\tracedata\DiskTr3" -ets

Error:
The session name provided is invalid.

我也尝试过使用GUID作为提供者，使用十六进制值的disk子选项，到目前为止似乎没有任何工作。

谢谢!

Answer 1

在ETW中，“Windows内核跟踪”提供程序被认为是一个特殊的提供程序，它只会登录到名为“NT Kernel Logger”的会话。

请参阅http://www.daschmelzer.com/cmg2006/PDFs/096.pdf

Answer 2

试着这样做：

logman start "NT Kernel Logger" -p "Windows Kernel Trace" (disk) -o events.etl -ets