2011-08-07 6 views
3

Windows用のイベントトレースを使用しています。アプリケーションを実行して、ETWトレースコントローラセッションを終了することができません。それを開く。Windows - アクティブなETWセッションを参照して、そのうちの1つを閉じることができます

基本的に私は私が閉じることができるように私にアクティブなセッションを示してツールを探しています::StartTrace([out] handle...)を行うと、私はそれで終わっていたときに、そのハンドルを閉じないでください(::StopTrace()機能を使用することによって行わ開閉)

手動でそれがなければ、シャットダウン時にコントローラセッションを閉じるためにPCを再起動する必要があります。

また、同じETW領域(Win 7)では、wbemtest.exeを使用して公開MOF記述のデータレイアウトを表示できるはずです。 MOFデータを見るには、

- Connect -> Namespace = \\root\wmi\EventTrace 

と入力する必要があります。しかし、私は"RPCサーバーが利用できません"を取得します。その画面でdafaultsの値を使用してください:IWBemLocator(Namespaces)、passsword = nullを解釈する方法、認証レベル=パケット。

資格情報の領域に私はユーザーとパスワードを持っていますが、別の空のフィールド - 権限があります。 MOFデータを表示する方法はありますか?私は勝利の下でこれを上げました。

+0

最初の質問については、私はそのようなAPI /ツールを探して、見つからなかった。 –

+0

2番目の質問に関して、私はroot \ wmi \ EventTraceのクラスを見ることができました。私はここに登録されたMOF-sが示されていると思います。 MOF記述(MOFコンパイラを使用してコンパイルするときに使用される入力ファイルのような)をどのように見るか分かりません。私はこれにWMI CIM Studioを使用しました。 – Ghita

答えて

2

QueryAllTracesファンクションは、呼び出し元が照会権限を持つコンピュータ上で開始されたすべてのイベントトレースセッションのプロパティと統計を取得します。

質問の2番目の部分を別の質問として投稿することをお勧めしますか?

+0

これは実際にトレースを照会するAPIです。また、いくつかのWMIセッションを終了するためのAPIもあります。私は、WMI CIM Studioやsmthのように私たちのためにこれを単純化するツールがあるのか​​どうか疑問に思っていただけです。 – Ghita

+1

私はlogmanクエリーを知っています。http://technet.microsoft.com/en-us/library/cc788030(WS。 10).aspxまたはwevutil el http://windowsecurity.com/articles/WEVTUTIL-Manage-Event-Logs.htmlこれを行うことができます。またはイベントビューのGUI –

0

tracelog Windows SDKに付属のコマンドラインユーティリティでは、tracelog -lコマンドでQueryAllTracesと同じことを実行できます。

関連する問題