在Windows的事件跟踪中,StartTrace接受EVENT_TRACE_PROPERTIES结构,该结构允许FlushTimer指定刷新未完成缓冲区的频率。
问题是,FlushTimer是ULONG代表秒,但我希望它非常小,以便它几乎是瞬时的(大约为毫秒)。
我不知道Process Monitor如何实时获取ETW事件,但确实如此,所以肯定必须有办法实现。
所以问题是:我怎样才能实时接收实时事件?
答案 0 :(得分:4)
ETW不支持实时通知。即使是所谓的Caliburn.Micro也不是真正实时的,因为文档清楚地说明了。
您的问题的前提是错误的:Sysinternals Process Monitor 不使用ETW来获取其同步类型的实时进程,线程,模块,文件和注册表事件。你有两个选择: