开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

正在写入ETW事件日志

ETW事件日志（Event Tracing for Windows）是Windows操作系统中的一种高性能事件跟踪技术，用于记录系统和应用程序的运行时信息。它可以帮助开发人员和系统管理员进行故障排查、性能分析和行为监控。

ETW事件日志的主要特点包括：

高性能：ETW使用轻量级的事件记录器，对系统性能影响较小，可以在高负载环境下进行实时事件记录。
低开销：ETW使用基于事件的记录模型，只记录关键的事件信息，减少了存储和处理的开销。
灵活性：ETW支持动态配置事件记录，可以根据需要选择记录的事件类型和详细程度。
多样性：ETW可以记录各种类型的事件，包括操作系统事件、应用程序事件、网络事件等。
可扩展性：ETW支持自定义事件记录器，开发人员可以根据需要定义自己的事件类型。

ETW事件日志的应用场景包括：

故障排查：通过记录关键事件信息，可以帮助开发人员定位和解决应用程序或系统的故障问题。
性能分析：通过记录性能相关的事件信息，可以分析系统或应用程序的性能瓶颈，并进行优化。
安全监控：通过记录网络事件和安全相关的事件信息，可以监控系统的安全性，并及时发现潜在的安全威胁。
行为监控：通过记录应用程序的行为事件，可以监控应用程序的运行状态和用户行为。

腾讯云提供了一系列与ETW事件日志相关的产品和服务，包括：

云监控（https://cloud.tencent.com/product/monitoring）：提供实时监控和告警功能，可以监控ETW事件日志并及时发现异常情况。
日志服务（https://cloud.tencent.com/product/cls）：提供日志采集、存储和分析的能力，可以将ETW事件日志集中存储，并进行搜索和分析。
弹性MapReduce（https://cloud.tencent.com/product/emr）：提供大数据处理和分析的能力，可以对ETW事件日志进行离线分析和挖掘。

总结：ETW事件日志是Windows操作系统中的一种高性能事件跟踪技术，可以帮助开发人员和系统管理员进行故障排查、性能分析和行为监控。腾讯云提供了一系列与ETW事件日志相关的产品和服务，包括云监控、日志服务和弹性MapReduce。

相关搜索:如何使用etw nlog将日志写入自定义eventsource 无法将事件日志写入指定的日志写入Delphi中的事件日志 NLog未将调试事件写入日志 Service Fabric ETW日志始终不完整将ETW事件发送到Application Insights？如何按顺序写入window事件日志文件事件中缺少Windows (ETW) FileName事件跟踪 ETW -事件跟踪的实时消耗时间 NLog未写入事件日志.NET核心2.1 写入日志如何在写入Serilog日志文件时触发事件？正在写入Jenkins的Nunit插件的测试结果日志尝试写入事件日志时出错 - 无法打开源"SourceName"的日志.您可能没有写入权限 linux 写入日志日志写入失败 log4j正在将downsteam的日志写入文件 Redis写入日志和查看日志在ETW中，如何启用微软视窗内核进程的ProcessRundown事件？正在写入现有文件

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

如何利用ETW（Event Tracing for Windows）记录日志

ETW是Event Tracing for Windows的简称，它是Windows提供的原生的事件跟踪日志系统。由于采用内核（Kernel）层面的缓冲和日志记录机制，所以ETW提供了一种非常高效的事件跟踪日志解决方案。一、ETW模型事件监测（Event Instrumentation）总会包含两个基本的实体，事件的提供者（ETW Provider）和消费者（ETW Consumer），ETW框架可以视为它们的中介。ETW Provider会预先注册到ETW框架上，提供者程序在某个时刻触发事件，并将标

05

如何利用ETW（Event Tracing for Windows）记录日志

ETW是Event Tracing for Windows的简称，它是Windows提供的原生的事件跟踪日志系统。由于采用内核（Kernel）层面的缓冲和日志记录机制，所以ETW提供了一种非常高效的事件跟踪日志解决方案。一、ETW模型事件监测（Event Instrumentation）总会包含两个基本的实体，事件的提供者（ETW Provider）和消费者（ETW Consumer），ETW框架可以视为它们的中介。ETW Provider会预先注册到ETW框架上，提供者程序在某个时刻触发事件，并将标

如何利用ETW（Event Tracing for Windows）记录日志

ETW是Event Tracing for Windows的简称，它是Windows提供的原生的事件跟踪日志系统。由于采用内核（Kernel）层面的缓冲和日志记录机制，所以ETW提供了一种非常高效的事件跟踪日志解决方案。一、ETW模型事件监测（Event Instrumentation）总会包含两个基本的实体，事件的提供者（ETW Provider）和消费者（ETW Consumer），ETW框架可以视为它们的中介。ETW Provider会预先注册到ETW框架上，提供者程序在某个时刻触发事件，并将标

06

QQ浏览器性能提升之路——windows性能分析工具篇

对普通用户而言，评判一款浏览器是否优秀，最直观的体验就是速度，但随着新功能的迭代，不断的开始有用户反馈浏览器开始变慢，这时候就需要进行性能优化了。而在Windows上面做性能相关的工作，WPT是个必备的神器。WPT的全名是Windows Performance Toolkit，是Windows下用来进行性能分析的一套工具，它的功能非常强大，你可以使用它来监控CPU，内存，磁盘和网络等等的活动，从而来确定当前系统的性能瓶颈。 WPT由两个独立的工具组成： Windows Performance Record

05

WCF的追踪分析工具——SvcPerf

Microsoft最近发布了SvcPerf，它是一个端到端的基于Windows事件追踪（ETW）的追踪查看器，可用于基于清单的追踪。你能够通过这个工具查看ETL文件或者实时跟踪会话，还能创建自定义的查询。这个端到端的追踪分析工具基于Linq over Traces（TX），可以用于WCF、WF以及其他基于活动的ETW跟踪。你能够通过这个工具查看ETL文件或者实时跟踪会话，还能创建自定义的查询。还可以在命令行提示符中使用SvcPerf转储原始的事件或者使用Linq over Traces（TX）执行自定义

06

Scheduled-Task-Tampering

微软最近发表了一篇文章，记录了HAFNIUM威胁参与者如何利用计划任务存储在注册表中的缺陷来隐藏它们的存在，这清楚地表明所呈现的漏洞很可能不是影响计划任务组件的唯一缺陷，我们开始研究如何滥用计划任务的注册表结构来实现各种目标，例如:横向移动和持久性

01

在 .NET Core 中使用 DiagnosticSource 记录跟踪信息

最新一直在忙着项目上的事情，很久没有写博客了，在这里对关注我的粉丝们说声抱歉，后面我可能更多的分享我们在微服务落地的过程中的一些经验。那么今天给大家讲一下在 .NET Core 2 中引入的全新 DiagnosticSource 事件机制，为什么说是全新呢？在以前的 .NET Framework 有心的同学应该知道也有 Diagnostics，那么新的 .NET Core 中有什么变化呢？让我们一起来看看吧。

04

Winshark：一款用于控制ETW的Wireshark插件

Winshark Winshark是一款用于控制ETW的Wireshark插件，ETW（Event Tracing for Windows）提供了一种对用户层应用程序和内核层驱动创建的事件对象的跟踪记录机制。为开发者提供了一套快速、可靠、通用的一系列事件跟踪特性。Microsoft Message Analyzer早就已经过时了，而且它的下载包早在2019年11月25日也被微软从其官网上移除了。Wireshark建立了一个庞大的网络协议剖析器工具库，为了帮助广大研究人员更好地收集和分析各种类型的网络日志，W

03

Qlog：一款功能强大的Windows安全日志工具

Qlog是一款功能强大的Windows安全日志工具，该工具可以为Windows操作系统上的安全相关事件提供丰富的事件日志记录功能。该工具目前仍处于积极开发状态，当前版本为Alpha版本。Qlog没有使用API钩子技术，也不需要在目标系统上安装驱动程序，Qlog指挥使用ETW检索遥测数据。当前版本的Qlog仅支持“进程创建”事件，之后还会添加更多丰富的事件支持。Qlog可以看作为Windows服务运行，但也可以在控制台模式下运行，因此我们可以将丰富的事件信息直接传输到控制台进行处理。

02

使用 ETW 对 .NET 应用程序进行性能诊断

下载代码示例您编写一个托管应用程序来亲身体验一下 – 您会觉得其速度较慢。您的应用程序在功能上是正常的，但其性能有很多不足。您想诊断出性能问题并解决这些问题，但您的应用程序正在生产环境中运行，导致您无法安装探查器或中断它。或者，您应用程序的使用范围可能不够广泛，无法证明购买 Visual Studio 探查器来进行 CPU 分析是合理的。幸运的是，Windows 事件跟踪 (ETW) 可以缓解这些问题。此强大的日志记录技术内置在 Windows 基础结构的多个部分中，并且 Microsoft .NET

06

如何使用Sealighter追踪和研究ETW

关于Sealighter Sealighter是针对ETW（Event Tracing）和WPP（Windows PreProcessor Tracing）的安全研究工具，工具的帮助下，在ETW研究人员可以方便追踪和研究W和WPP。 Sealight利用了Krabs ETW库来启用事件过滤功能的丰富功能，对事件ETW和WPP进行分类。输出，Sealighter 可以将事件解析为 JSON 格式，并输入到 Python、PowerShell、Splunk 或 ELK 中进行进一步分析。功能介绍 1

03

etl-parser：基于纯Python开发的事件追踪日志文件解析工具

etl-parser是一款基于纯Python开发的事件追踪日志文件读取和解析工具。该工具基于纯Python 3 ETL Windows日志文件解析库实现其功能，而ETL则是ETW以及内核日志工具的默认格式。

02

ETW - 事件提供者（Event Provider）

官方示例：Eventdrv - Code Samples | Microsoft Learn

01

性能分析工具-PerfView

Roslyn的PM（程序经理） Bill Chiles，Roslyn使用纯托管代码开发，但性能超过之前使用C++编写的原生实现，这有什么秘诀呢？他最近写了一篇文章叫做《Essential Performance Facts and .NET Framework Tips》里头推荐了一个性能分析工具《Improving Your App's Performance with PerfView》。PerfView能够收集Windows事件跟踪（ETW）数据来追踪程序的调用流向，这些程序通过调用哪个函数识别频率。

07

ASP.NET Core 6框架揭秘实例演示[11]：诊断跟踪的几种基本编程方式

在整个软件开发维护生命周期内，最难的不是如何将软件系统开发出来，而是在系统上线之后及时解决遇到的问题。一个好的程序员能够在系统出现问题之后马上定位错误的根源并找到正确的解决方案，一个更好的程序员能够根据当前的运行状态预知未来可能发生的问题，并将问题扼杀在摇篮中。合理地利用诊断手段能够帮助我们有效地纠错和排错。(本篇提供的实例已经汇总到《ASP.NET Core 6框架揭秘-实例演示版》）

05

PC性能监测工具，您不可或缺的好帮手~~

在计算机使用过程中，常有人会问：为什么我的CPU利用率接近100%？为什么可用内存不断减少？

03

Shellcode 技术

转载：https://vanmieghem.io/blueprint-for-evading-edr-in-2022/

02

Windows Update 无法连接到更新服务(0x80072EE2)

运行PowerShell命令Get-WindowsUpdateLog后，导出WindowsUpdate.log日志文件，文件内容显示如下，都是以1601/01/01 08:00:00.0000000开头的条目，没有正确解析日志内容

06

在.NET Core 中收集数据的几种方式

APM是一种应用性能监控工具，可以帮助理解系统行为, 用于分析性能问题的工具，以便发生故障的时候，能够快速定位和解决问题, 通过汇聚业务系统各处理环节的实时数据，分析业务系统各事务处理的交易路径和处理时间，实现对应用的全链路性能监测。

00

安全研究 | YARA规则阻止Windows事件日志记录

事件日志搭配Windows事件转发和Sysmon，将会成为一个非常强大的安全防御方案，可以帮助研究人员检测攻击者在目标设备上的每一步非法操作。很明显，这是攻击者需要解决的问题。如果不能实现提权的话，攻击者能绕过事件日志的方式还是有限的，一旦实现提权，那结果可就不同了。

01

在.NET Core 中收集数据的几种方式

APM是一种应用性能监控工具，可以帮助理解系统行为, 用于分析性能问题的工具，以便发生故障的时候，能够快速定位和解决问题, 通过汇聚业务系统各处理环节的实时数据，分析业务系统各事务处理的交易路径和处理时间，实现对应用的全链路性能监测。

02

重磅！！！微软发布.NET Core 2.2

我们很高兴地宣布发布.NET Core 2.2。它包括对运行时的诊断改进，对ARM32 for Windows和Azure Active Directory for SQL Client的支持。此版本中最大的改进是在ASP.NET Core中。

02

.NET 中的 EventCounters

EventCounters 是 .NET API，用于轻量级、跨平台、准实时性能指标收集。 EventCounters 作为 Windows 上 .NET 框架的“性能计数器”的跨平台替代项添加。本文将介绍什么是 EventCounters，如何实现它们，以及如何使用它们。

02

.NET Core 2.2 正式发布

我们很高兴地宣布.NET Core 2.2版本。它包括对运行时诊断的改进、对 Windows 的 ARM32 和 SQL 客户端的 Azure Active Directory 的支持。此版本中最大的改进是 ASP.NET Core。

03

如何使用MrKaplan在红队活动中隐藏和清理代码执行痕迹

关于MrKaplan MrKaplan是一款功能强大的红队安全研究工具，该工具可以帮助广大红队研究人员清理和隐藏活动中的代码执行痕迹。该工具可以通过保存文件运行时间、存储文件快照等信息来辅助红队活动，并将所有的取证信息与相关用户关联起来。功能介绍 1、关闭系统事件日志记录功能； 2、清理文件和代码组件； 3、清理注册表； 4、支持多用户运行； 5、支持以普通用户或管理员身份运行（建议以管理员权限运行）； 6、支持保存文件时间戳； 7、支持排除指定操作，并将组件留给蓝队人员。工具下载该工具本质

01

译 | .NET Core 3.0 对诊断的改进

在 .NET Core 3.0 中，我们将引入一套工具，这些工具利用 .NET 运行时中的新功能，使诊断和解决性能问题变得更加容易。

03

用 dotTrace 进行性能分析时，各种不同性能分析选项的含义和用途

发布于 2018-11-12 16:14 更新于 2018-11-28 08:25

01

鹅厂优文 | 企点PC端性能测试-UI卡顿分析

本文以一个企点融合工作台测试中发现的案例说明如何获得UI卡顿数据，以及如何分析数据，定位问题。

针对APT攻击的终端安全系统大规模评估

高级持续性威胁（APT，Advanced Persistent Threat）对蓝队来说是一项重大挑战，因为攻击者会长时间应用各种攻击，阻碍事件关联和检测。在这项工作中利用各种不同的攻击场景来评估终端检测与响应系统（EDR，Endpoint Detection and Response）和其他安全解决方案在检测和预防 APT 方面的功效。结果表明，由于最先进的终端安全系统无法预防和记录这项工作中报告的大部分攻击，因此仍有很大的改进空间。此外，还讨论了篡改 EDR 遥测提供者的方法，从而允许攻击者进行更隐蔽的攻击。

10个用于C＃.NET开发的基本调试工具

在调试软件时，工具非常重要。获取正确的工具，然后再调试时提取正确的信息。根据获取的正确的错误信息，可以找到问题的根源所在。找到问题根源所在，你就能够解决该错误了。

05

【ES三周年】一次 Elasticsearch 集群重启引发的灾难

目前我们生产环境自建了一套 ELK 日志数据采集展示平台。平台采集了应用日志数据、模块调用链数据，部分组件监控数据，并通过 kibana 创建视图看板，监控线上应用状态。生产部署架构如下，其中 ES 集群由双机房 6 台物理机节点组成。这里需要使用自签名的 SSL 证书对集群数据加固，证书 host 与 IP 绑定，就没有部署单机多实例。

[AI安全论文] 07.S&P19 HOLMES：基于可疑信息流相关性的实时APT检测

前一篇文章分享了NDSS 2020的《UNICORN: Runtime Provenance-Based Detector for Advanced Persistent Threats》，一种基于溯源图的实时APT检测器。

01

用 dotTrace 进行性能分析时，Timeline 打不开？无法启动进程？也许你需要先开启系统性能计数器的访问权限

2018-11-12 08:46

03

Windows2022绕过Defender提权

星球某位师傅找我讨论了一个他在项目实战测试中关于Windows2022绕过Windows Defender提权过程遇到的一些问题，在这简单记录并分享下在这种场景下如何绕过该防护进行提权的方法和思路。

01

Windows 10 SDK预览版17704发布 :可将应用打包成MSIX格式

Windows 10 SDK preview build 17704包括了Bug修复和API更改，另外还支持了MSIX文件格式包。

03

围绕PowerShell事件日志记录的攻防博弈战

PowerShell一直是网络攻防对抗中关注的热点技术，其具备的无文件特性、LotL特性以及良好的易用性使其广泛使用于各类攻击场景。为了捕获利用PowerShell的攻击行为，越来越多的安全从业人员使用PowerShell事件日志进行日志分析，提取Post-Exploitation等攻击记录，进行企业安全的监测预警、分析溯源及取证工作。随之而来，如何躲避事件日志记录成为攻防博弈的重要一环，围绕PowerShell事件查看器不断改善的安全特性，攻击者利用多种技巧与方法破坏PowerShell日志工具自身数据，以及事件记录的完整性。今年10月份微软发布补丁的CVE-2018-8415正是再次突破PowerShell事件查看器记录的又一方法，本文将细数PowerShell各大版本的日志功能安全特性，及针对其版本的攻击手段，品析攻防博弈中的攻击思路与技巧。

01

Node.js 19 已正式发布

Node.js 19 在上周已发布，本次更新亮点包括：将 V8 JavaScript 引擎更新到 10.7，以及默认启用 HTTP(s)/1.1 KeepAlive。

01

NimPackt:基于Nim的汇编程序封装器和Shellcode加载器

NimPackt是一款基于Nim命令式编程语言开发的强大工具，该工具同时具备汇编程序封装功能以及Shellcode加载功能。

01

利用Winrm.vbs绕过白名单限制执行任意代码

winrm.vbs（一个位于system32目录下的具有Windows签名的脚本文件）可以被用来调用用户定义的XSL文件，从而导致任意的、没有签名的代码执行。当用户向winrm.vbs提供'-format:pretty'或者'-format:text'参数时，winrm.vbs将从cscript.exe所在目录读取WsmPty.xsl或Wsmtxt.xsl文件。这意味着若将cscript.exe拷贝到攻击者可以控制的目录下，并将恶意的XSL文件也置于相同路径中，攻击者将可以绕过签名保护而执行任意代码。这个攻击手段和Casey Smith的wmic.exe技术很相像。

04

议题解读：Operation Bypass Catch My Payload If You Can

本次简单解读的议题为：Operation Bypass Catch My Payload If You Can

03

安全研究 | 利用macOS Dock实现代码的持久化执行

近期，我一直在研究macOS上的一些持久化技术，尤其是如何利用低等级用户权限来修改文件以影响用户交互。对于macOS终端用户来说，交互最频繁的当属Dock了。

04

围绕PowerShell事件日志记录的攻防博弈

【*绿盟科技M01N Team研究岗长期招聘CTF、Pentest、RE、PWN、WEB，请在文末进行了解！】

03

Wireshark 4.0.0 如约而至，这些新功能更新的太及时了！

Wireshark 是世界上最流行的网络协议分析工具（我们一般称之为”抓包工具“），主要用于故障排除、分析、开发。

02

沙盒syscall监控组件：strace and wtrace

最近在看一些时间管理方面的书，发现其实很多事情都是可以安排清楚，关键在于固定的时间，固定的投入，形成习惯，成为良性循环。

03

Win10惊天漏洞曝光，24核48线程高配电脑也能变鸡肋

Win10最近被谷歌工程师发现了惊天的Bug，在24核等超强配置下，卡顿现象也严重。 Win10自发布之日起，就广受吐槽，因为网友总能发现各种各样的Bug。近日，谷歌的工程师在工作过程中又发现了一个令人咋舌的Bug。这位工程师表示，他的电脑配置是Intel 24核48线程处理器、64GB内存和高速SSD，在这样超高配置下运行Win10，理论上可以说是强强联手了，卡顿的现象基本不会发生。但是这位工程师表示，在处理普通编译任务的时候，电脑也出现了卡顿现象，有时候连鼠标都动不了，而Win8就不会有这种情况发生。

03

如何使用LightsOut生成经过混淆处理的DLL

LightsOut是一款功能强大的DLL生成工具，该工具可以帮助广大研究人员轻松生成经过混淆处理的DLL。该工具专为红队研究人员设计，生成的DLL可以在研究人员尝试绕过反病毒产品时禁用AMSI和ETW，从而更好地测试目标系统的安全性。

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭