я пытаюсь прослушать события ядра ETW.
Шаг 1. Позвоните по адресу
OpenTrace, указавEventCallback< /a> и необязательноBufferCallback< /a> функции, которые будут вызываться во время моего обращения кProcessTrace:var logFile: EVENT_TRACE_LOGFILE; currentTrace: TRACEHANDLE; begin ZeroMemory(@logFile, sizeof(logFile)); logFile.LoggerName := KERNEL_LOGGER_NAME; logFile.LogFileName := 'C:\Users\Ian\foo.etl'; logFile.ProcessTraceMode := 0; logFile.EventCallback := RealtimeEventCallback; logFile.BufferCallback := BufferCallback; //optional currentTrace := OpenTrace(@logFile); if (currentTrace = INVALID_PROCESSTRACE_HANDLE) or (currentTrace = -1) then RaiseLastWin32Error();Шаг 2. включите события ядра< /а>. Это делается путем вызова
StartTrace< /а>. В моем случае я хочу отслеживать ядро прерывает (EVENT_TRACE_FLAG_INTERRUPT) и отложенные вызовы процедур (EVENT_TRACE_FLAG_DPC):var sessionProperties: PEVENT_TRACE_PROPERTIES; bufferSize: Int64; th: TRACEHANDLE; loggerName: string; logFilePath: string; begin loggerName := KERNEL_LOGGER_NAME; logFilePath := 'C:\Users\Ian\foo.etl'; bufferSize := sizeof(EVENT_TRACE_PROPERTIES) + 1024 //maximum session name is 1024 characters + 1024; //maximum log file name is 1024 characters sessionProperties := AllocMem(bufferSize); ZeroMemory(sessionProperties, bufferSize); sessionProperties.Wnode.BufferSize := bufferSize; sessionProperties.Wnode.ClientContext := 1; //QPC clock resolution sessionProperties.Wnode.Flags := WNODE_FLAG_TRACED_GUID; sessionProperties.Wnode.Guid := SystemTraceControlGuid; sessionProperties.EnableFlags := EVENT_TRACE_FLAG_INTERRUPT or EVENT_TRACE_FLAG_DPC; sessionProperties.LogFileMode := EVENT_TRACE_FILE_MODE_CIRCULAR; sessionProperties.MaximumFileSize := 5; // 5 MB sessionProperties.LoggerNameOffset := sizeof(EVENT_TRACE_PROPERTIES); sessionProperties.LogFileNameOffset := sizeof(EVENT_TRACE_PROPERTIES)+1024; //Copy LoggerName to the offset address MoveMemory(Pointer(Cardinal(sessionProperties)+sessionProperties.LoggerNameOffset), PChar(loggerName), Length(loggerName)+1); //Copy LogFilePath to the offset address MoveMemory(Pointer(Cardinal(sessionProperties)+sessionProperties.LogFileNameOffset), PChar(logFilePath), Length(logFilePath)+1); hr := StartTrace({var}th, PChar(loggerName), sessionProperties); if (hr <> ERROR_SUCCESS) then raise EWin32Error.Create(SysErrorMessage(hr));И журнал запускается успешно (я вижу, что
foo.etlначинает расти до кругового предела в 5 МБ).Шаг 3. Позвоните по адресу
ProcessTrace, который блокируется до тех пор, пока все ожидающие события не будут доставлены вEventCallbackобработчик, указанный на шаге 1:var res: LongWord; begin res := EventTrace.ProcessTrace(@currentTrace, 1, nil, nil); if (res <> ERROR_SUCCESS) then raise EWin32Error.Create(SysErrorMessage(res));
За исключением того, что ProcessTrace сразу же неоднократно возвращается, и обратный вызов не вызывается, даже несмотря на то, что файл etl присутствует и растет.
Если я изменю ведение журнала с Файловый на Журнал в реальном времени:
Шаг 1 —
OpenTraceизменений для поддержки реального времени:logFile.ProcessTraceMode := PROCESS_TRACE_MODE_REAL_TIME;Шаг 2.
StartTraceизменения для поддержки реального времени:sessionProperties.LogFileMode := EVENT_TRACE_REAL_TIME_MODE;
В этом случае ProcessTrace никогда не возвращается, но ни EventCallback, ни BufferCallback никогда не вызываются.
Что я делаю неправильно?
Обновление: Мои функции обратного вызова:
function BufferCallback(Logfile: PEVENT_TRACE_LOGFILE): LongWord; stdcall;
begin
ShowMessage('BufferCallback');
Result := 1; //return true to keep processing rows
end;
procedure RealtimeEventCallback(pEvent: PEVENT_TRACE); stdcall;
begin
ShowMessage('EventCallback');
nEvents := nEvents+1;
end;
