ETW - FileDiskIO [英] ETW - FileDiskIO

问题描述

大家好，

我希望使用ETW来消耗文件读/写事件，但是有点不清楚如何做到这一点。

I'm looking to consume file read/write events using ETW, but it's a little unclear how to do this.

我最初假设此活动将在FileIO中，但在使用TraceEvent（https://www.nuget.org/packages/Microsoft.Diagnostics.Tracing.TraceEvent/) 和notepad进行测试时，我没有没事。  然后我找到了DiskFileIO，
似乎确实给了我这些事件。

I originally assumed that this activity would be in the FileIO, but when testing with TraceEvent (https://www.nuget.org/packages/Microsoft.Diagnostics.Tracing.TraceEvent/) and notepad I wasn't getting events.  I then found the DiskFileIO, which does appear to give me these events.

但是，DiskFileIO似乎只能从内核记录器中获得 - 我看不到"Microsoft-Windows-Kernel-DiskFileIO"我可以访问的提供商。  有什么我想念的吗？  如果没有，有没有办法创建 "Microsoft-Windows-Kernel-DiskFileIO""
所以我没有使用内核记录器？

However, DiskFileIO seems to be only available from the Kernel Logger - I don't see a "Microsoft-Windows-Kernel-DiskFileIO" Provider that I can access.  Is there something I'm missing?  If not, is there a way to create "Microsoft-Windows-Kernel-DiskFileIO" so I don't have the use the Kernel logger?

谢谢，

-DR

Thanks,
-DR

推荐答案

您好DR913，

Hi DR913,

感谢您发布此处。

>> 我希望使用ETW来使用文件读/写事件，但是有点不清楚如何做到这一点。

对于您的问题，您可以参考以下链接，该链接提供了如何从C＃中消费ETW事件。

< a href ="https://blogs.msdn.microsoft.com/danielvl/2009/02/02/how-to-consume-etw-events-from-c/"ta rget = "_blank"> https://blogs.msdn.microsoft.com/danielvl/2009/02/02/how-to-consume-etw-events-from-c/  

>> 如果没有，有没有办法创建"Microsoft-Windows-Kernel-DiskFileIO"，所以我没有
使用内核记录器？  

有一个链接提供了如何创建NT内核记录器跟踪会话。请参考。

https://docs.microsoft.com/en-us/windows-hardware/drivers/devtest/creating-an-nt-kernel-logger-跟踪会话

最好的问候，

Wendy

这篇关于ETW - FileDiskIO的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！