我无法确定XPerf.exe命令行开关和参数的正确组合，以便加载WPF ETW提供程序（Microsoft-Windows-WPF? a42c77db-874f-422e-9b44-6d89fe2bd3e5? E13B77A8-14B6-11DE-8069-001B212B5009}?）并监听...

较大的问题是如何在一般情况下消耗实时ETW网络堆栈事件，但我特别关注Microsoft-Windows-NDIS-PacketCapture提供程序。所有其他网络堆栈提供程序部分工作，但NDIS-PacketCapture (NDIS-PC)根本不起作用，所以这可能是我可以在这里问的最简单的问...

我应该使用Windows事件跟踪（ETW）还是标准的.NET EventLog类，反之亦然？知道我们将使用相当多的性能计数器会影响决策吗？ 我目前所知： ETW应该表现更好。 集成ETW需要更多的工作（例如.NET事件跟踪Windows） 通过选择ETW中的一个标准通道（例如Applic...

我正在尝试使用ETW、Microsoft-Windows-TCPIP提供程序和Microsoft TraceEvent库在计算机上捕获TCP连接的实时数据。其中一个值是TCB，它是一个数字。我知道TCB（传输控制块）是什么，但我不知道这个数字的含义。从清单中找到的最佳信息是这是一个指针。 我...

性能计数器是否是ETW的一部分？如果不是，两者之间有什么区别？

有没有一种方法可以获得分配总数（注意-分配数而不是分配的字节数）？它可以是针对当前线程或全局的，以较简单的为准。 我想要检查特定函数分配了多少对象，虽然我知道调试->性能分析器（Alt+F2），但我想要能够在我的程序内部通过编程方式实现。 // pseudocode int GetTota...

我有一段代码使用了Microsoft.Diagnostics.Tracing.TraceEvent NuGet包，以下是我编写的代码： using (var session = new TraceEventSession("mine")) { session.StopOnDispos...

我需要帮助解决创建Windows事件提供程序时出现的"Provider''资源不可访问"问题。我使用ManGen实用程序创建了我的清单文件，并将我的 ".exe" 文件命名为我的消息和资源文件。我将“.rc”文件与我的exe文件一起编译，预期会生成'.res'文件。然而，当我运行wevtuti...

我需要知道nt和win32k加载的基地址。我可以通过启用内核调试来获取这些信息，启动内核调试会话并运行命令lm以获取已加载模块列表。 我的目标是在不启用调试模式或使用内核调试器的情况下编程确定这两个模块的加载位置。我需要这些基址来解析Event Tracing for Windows日志文件...

在.NET中跟踪的每个示例中，人们都会删除“Default”侦听器：<configuration> <system.diagnostics> <sources> <source name="TraceSourceApp" swi...