Windows Etkinlik İzleme_ETW'yi Anlamak
Categories:
- Windows Etkinlik İzleme_ETW’yi Anlamak
ETW’yi Anlamak
Bazı gereksiz bilgileri ayıkladıktan sonra, tam belgeler için: https://docs.microsoft.com/en-us/windows/win32/etw/event-tracing-portal
Temelleri Anlamak
https://learn.microsoft.com/en-us/windows/win32/etw/about-event-tracing
Oturum
Dört tür oturum vardır
| Oturum Türü | Kullanım | Sınırlamalar | Özellikler |
|---|---|---|---|
| Etkinlik İzleme Oturumu(Standart ETW) | 1. EVENT_TRACE_PROPERTIES2. StartTrace, oturum oluştur3. EnableTrace 1. EnableTrace klasik sağlayıcı için 2. EnableTraceEx manifest tabanlı sağlayıcı için4. ControlTrace oturumu durdur | - Bir manifest tabanlı sağlayıcı yalnızca en fazla 8 oturuma etkinlik sağlayabilir- Bir klasik sağlayıcı yalnızca bir oturumu destekleyebilir.- Oturum sağlayıcıyı ele geçirme davranışı son gelenindir. | Standart ETW. |
| SystemTraceProvider Oturumu | 1. EVENT_TRACE_PROPERTIES->EnableFlags2. StartTrace3. ControlTrace oturumu durdur | - SystemTraceProvider önceden tanımlanmış bir dizi çekirdek olayı sağlayan bir çekirdek olay sağlayıcısıdır.- NT Kernel Logger oturumu sistemde önceden yapılandırılmış bir oturumdur ve önceden tanımlanmış bir dizi sistem çekirdek olayı kaydeder.- Win7/WinServer2008R2 yalnızca NT Kernel Logger oturumu SystemTraceProvider’ı kullanabilir.- Win8/WinServer2012 SystemTraceProvider’ı 8 logger oturumuna olay sağlayabilir, bunlardan ikisi NT Kernel Logger ve Circular Kernel Context Logger için sabittir.- Win10 20348 sonrası, çeşitli System sağlayıcıları ayrı ayrı kontrol edilebilir. | Sistem çekirdek önceden tanımlanmış olaylarını alır. |
| AutoLogger oturumu | 1. Kayıt defterini değiştir 2. EnableTraceEx3. ControlTrace oturumu durdur | - Global Logger Oturumu sistem başlangıcında olayları kaydeden özel bir oturumdur.- Normal AutoLogger sağlayıcıyı etkinleştirmeyi gerektirir, GlobleLogger gerekmez.- AutoLogger NT Kernel Logger olaylarını desteklemez, yalnızca GlobalLogger destekler.- Başlatma süresini etkiler, ölçülü kullanım | İşletim sisteminin başlatma sırasında gerçekleşen olaylarını kaydeder |
| Özel Logger Oturumu | - | - User-mode ETW- Yalnızca süreç içi kullanım için- 64 oturum paralel limitine dahil değildir. | Süreç içi özel |
Araçlar
- logman
- wevtutil
- xpath sorgu örneği:
wevtutil qe Security /c:2 /q:"*[System[EventID=5157]]" /f:text
- xpath sorgu örneği:
- tracelog
- visual studio’nun
tracelogaracı kullanılarak, ETW Sağlayıcıları ve ETW Oturumları çalışma zamanında dinamik olarak eklenebilir ve kaldırılabilir
- visual studio’nun
- mc
- etw-providers-docs