标签: c++ events windows-7 tracing etw
有没有办法过滤ETW事件回调?
我通过使用关键字开始跟踪来获取所需的所有事件;遗憾的是,一些关键字启用了许多事件ID(例如,Microsoft-Windows-Kernel-File提供程序的FILEIO关键字为我提供了所有IO事件,当我只需要关闭文件时)。我可以在回调中过滤掉这些内容,但我甚至不会收到某些事件ID的回调。我已经尝试使用EnableTraceEx2的PEVENT_FILTER_DESCRIPTOR,但没有任何运气(过滤器似乎没有效果)。
谢谢!