快速入门:处理你的第一个跟踪

  • 项目

尝试使用 TraceProcessor 访问 Windows 事件跟踪 (ETW) 跟踪中的数据。 利用 TraceProcessor 可以将 ETW 跟踪数据作为 .NET 对象访问。

本快速入门介绍如何执行以下操作:

  1. 安装 TraceProcessing NuGet 包。
  2. 创建 TraceProcessor。
  3. 使用 TraceProcessor 访问跟踪中包含的进程命令行。

先决条件

Visual Studio 2019

安装 TraceProcessing NuGet 包

可使用以下包 ID ,从 NuGet 获得 .NET TraceProcessing:

Microsoft.Windows.EventTracing.Processing.All

可以在控制台应用中使用此包列出 ETW 跟踪(.etl 文件)中包含的进程命令行。

  1. 创建新的 .NET 控制台应用。 在 Visual Studio 中,选择“文件”、“新建”、“项目...”,然后选择 C# 的控制台应用模板。

    在“项目名称”处输入名称(例如 TraceProcessorQuickstart),然后选择“创建”。

  2. 在解决方案资源管理器中,右键单击“依赖项”,然后选择“管理 NuGet 包…”并切换到“浏览”选项卡。

  3. 在搜索框中,输入“Microsoft.Windows.EventTracing.Processing.All”并搜索。

    在具有该名称的 NuGet 包上选择“安装”,然后关闭 NuGet 窗口。

创建 TraceProcessor

  1. 将 Program.cs 更改为以下内容:

    using Microsoft.Windows.EventTracing;
using Microsoft.Windows.EventTracing.Processes;
using System;

class Program
{
    static void Main(string[] args)
    {
        if (args.Length != 1)
        {
            Console.Error.WriteLine("Usage: <trace.etl>");
            return;
        }

        using (ITraceProcessor trace = TraceProcessor.Create(args[0]))
        {
            // TODO: call trace.Use...

            trace.Process();

            Console.WriteLine("TODO: Access data from the trace");
        }
    }
}

  2. 提供在运行项目时使用的跟踪名称。

    在解决方案资源管理器中,右键单击该项目,然后选择“属性”。 切换到“调试”选项卡,在“应用程序”参数中输入跟踪(.etl 文件)路径。

    如果还没有跟踪文件,可以使用 Windows Performance Recorder 创建一个。

  3. 运行应用程序。

    选择“调试”,然后选择“开始执行(不调试)”以运行代码。

使用 TraceProcessor 访问跟踪中包含的进程命令行

  1. 将 Program.cs 更改为以下内容:

    using Microsoft.Windows.EventTracing;
using Microsoft.Windows.EventTracing.Processes;
using System;

class Program
{
    static void Main(string[] args)
    {
        if (args.Length != 1)
        {
            Console.Error.WriteLine("Usage: <trace.etl>");
            return;
        }

        using (ITraceProcessor trace = TraceProcessor.Create(args[0]))
        {
            IPendingResult<IProcessDataSource> pendingProcessData = trace.UseProcesses();

            trace.Process();

            IProcessDataSource processData = pendingProcessData.Result;

            foreach (IProcess process in processData.Processes)
            {
                Console.WriteLine(process.CommandLine);
            }
        }
    }
}

  2. 再次运行应用程序。

    这一次,应会看到记录跟踪时正在执行的所有进程的命令行列表。

后续步骤

在本快速入门中,你创建了一个控制台应用程序,并安装了 TraceProcessor,将其用于从 ETW 跟踪访问进程命令行。 现在,你有一个可访问跟踪数据的应用程序。

进程信息只是存储在你的应用程序可以访问的 ETW 跟踪中的多种数据之一。

接下来是进一步了解 TraceProcessor 及其它可以访问的其他数据源。