我正在使用Windows API的事件跟踪,并且我不时运行我的应用程序,并且在打开它之后无法关闭ETW跟踪控制器会话。
基本上我做::StartTrace([out] handle...)并且在我完成它时不关闭该句柄(使用::StopTrace()函数完成关闭)
我正在寻找一个工具,向我显示活动会话,以便我可以手动关闭它。没有它我必须重新启动我的PC才能在关机时关闭控制器会话。
此外,我在同一个ETW区域(在Win 7上),我知道我应该能够使用wbemtest.exe查看公共MOF描述的数据布局。在那里我应该进入
- Connect -> Namespace = \\root\wmi\EventTrace
查看MOF数据。但我得到“RPC服务器不可用”。在该屏幕中使用dafaults值:IWBemLocator(Namespaces),如何解释passsword = null,Authentication level = packet。
在凭据区域中,我有用户和密码(我尝试过),但还有另一个空字段 - 权限。有没有办法查看MOF数据?在Win 7下我把这个提升了。
答案 0 :(得分:6)
您可以使用命令logman query -ets查看当前正在运行的跟踪事件会话列表。
例如,在Windows 10上,您将看到如下内容:
C:\>logman query -ets
Data Collector Set Type Status
-------------------------------------------------------------------------------
AppModel Trace Running
FaceRecoTel Trace Running
FaceUnlock Trace Running
LwtNetLog Trace Running
Microsoft Security Client WMI Providers Trace Running
NtfsLog Trace Running
TileStore Trace Running
WiFiSession Trace Running
SCM Trace Running
UserNotPresentTraceSession Trace Running
CldFltLog Trace Running
SHS-05042018-095434-7-5f Trace Running
WDSC-05042018-095434-7-20 Trace Running
Diagtrack-Listener Trace Running
8696EAC4-1288-4288-A4EE-49EE431B0AD9 Trace Running
Cloud Files Diagnostic Event Listener Trace Running
The command completed successfully.
如果您已创建自己的会话,例如使用 Microsoft.Diagnostics.Tracing.Session.TraceEventSession , 您将为会话指定一个唯一的名称,如果它正在运行,您应该在列表中看到它。
要杀死现有会话,请以管理员身份执行此操作:
logman stop <SessionName> -ets
还有一些PowerShell Cmdlets可以做类似的事情。
答案 1 :(得分:3)
QueryAllTraces函数检索调用者有权查询的计算机上启动的所有事件跟踪会话的属性和统计信息。
我是否可以建议将问题的第二部分作为单独的问题发布?
答案 2 :(得分:1)
Windows SDK附带的tracelog命令行实用程序允许您使用QueryAllTraces命令执行与tracelog -l相同的操作。