Comment activer le suivi WPP via le service Journal des événements Windows
Le service Journal des événements Windows prend en charge la journalisation et le décodage WPP. Cette rubrique explique comment activer le suivi WPP via le service Journal des événements Windows.
L’activation du suivi WPP dans ce scénario ne nécessite aucun travail supplémentaire pour le fournisseur WPP. Toutefois, pour utiliser le service Journal des événements Windows, vous devez fournir un manifeste et un fournisseur de journal des événements. Pour activer le suivi WPP, déclarez un canal de débogage et spécifiez le GUID de contrôle associé comme déclaré pour votre fournisseur WPP.
Par exemple :
<instrumentationManifest
xmlns="http://schemas.microsoft.com/win/2004/08/events"
xmlns:win="http://manifests.microsoft.com/win/2004/08/windows/events"
xmlns:xsi="http://www.w3.org/2001/XMLSchema" xsi:schemaLocation="http://schemas.microsoft.com/win/2004/08/events eventman.xsd"
>
<instrumentation>
<events>
<provider name="Microsoft-Windows-mySampleProvider"
guid="{61CE3EC9-E5E8-4b96-A451-74631A6E0D5C}"
>
<channel
chid="MS_WINDOWS_GE_DEBUG"
enabled="false"
isolation="System"
message="$(string.Microsoft-Windows-GenerateEvent.channel.CHANNEL_DEBUG.message)"
name="Microsoft-Windows-GenerateEvent/Debug"
symbol="CHANNEL_DEBUG"
type="Debug"
>
<publishing>
<level>2</level>
<keywords>0xFFFFFFFF</keywords>
<controlGuid>{d58c126f-b309-11d1-969e-0000f875a5bc}</controlGuid>
</publishing>
</channel>
</provider>
</events>
</instrumentation>
</instrumentationManifest>
Le suivi WPP n’est pas destiné à être activé tout le temps. Par défaut, l’attribut enable dans le manifeste doit être défini sur false. Lorsque le suivi WPP est nécessaire, modifiez l’attribut dans le manifeste, de sorte que enabled="true ».
Vous ne pouvez pas spécifier ou sélectionner individuellement des bits de contrôle. Pour activer tous les événements WPP sur ce canal, spécifiez une valeur mot clé de 0XFFFFFFFF. En interne, les bits de contrôle sont mappés aux mots clés ; si vous savez quel bit correspond à un mot clé spécifique, vous pouvez sélectionner ce mot clé pour obtenir un ensemble spécifique d’événements. Dans l’exemple de manifeste, la valeur mot clé est 0xFFFF car moins de 16 bits de contrôle WPP sont nécessaires. Pour obtenir un ensemble d’événements spécifique après l’installation, vous pouvez modifier les mots clés à l’aide de l’utilitaire de ligne de commande wevtutil.exe. La commande est la suivante :
wevtutilsl<channel name>/k :<mot clé valeur correspondant au bit> de contrôle
Notez que le canal doit d’abord être désactivé pour modifier la valeur mot clé.
La déclaration d’un canal de cette manière permet au fournisseur WPP (dont le GUID de contrôle est spécifié) et au fournisseur du journal des événements (sous lequel ce canal est déclaré) d’accéder au canal de débogage, afin que l’un ou l’autre des fournisseurs puisse écrire dans ce canal. Les événements WPP ou les événements ETW normaux peuvent désormais être vus sous ce canal via l’observateur d’événements.
Les événements WPP ne sont pas décodés. Pour obtenir les chaînes de message associées à ces événements, placez les fichiers TMF dans le répertoire %windir%\System32\winevt\TraceFormat. Vous pouvez obtenir les fichiers TMF à l’aide d’un utilitaire tel que Tracepdb.exe, qui prend le fichier PDB pour l’entrée et retourne les fichiers TMF.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour