Partager via


Comment activer le suivi WPP via le service de journal des événements Windows

Le service journal des événements Windows prend en charge la journalisation et le décodage WPP. Cette rubrique explique comment activer le suivi WPP via le service journal des événements Windows.

L’activation du suivi WPP dans ce scénario ne nécessite aucun travail supplémentaire pour le fournisseur WPP. Toutefois, pour utiliser le service Journal des événements Windows, vous devez fournir un manifeste et un fournisseur de journaux d’événements. Pour activer le suivi WPP, déclarez un canal de débogage et spécifiez le GUID de contrôle associé comme déclaré pour votre fournisseur WPP.

Par exemple :

<instrumentationManifest
    xmlns="http://schemas.microsoft.com/win/2004/08/events"
    xmlns:win="http://manifests.microsoft.com/win/2004/08/windows/events"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema"  xsi:schemaLocation="http://schemas.microsoft.com/win/2004/08/events eventman.xsd"  
    >
   <instrumentation>
        <events>
            <provider name="Microsoft-Windows-mySampleProvider"
                guid="{61CE3EC9-E5E8-4b96-A451-74631A6E0D5C}"
                >
          <channel
        chid="MS_WINDOWS_GE_DEBUG"
        enabled="false"
        isolation="System"
        message="$(string.Microsoft-Windows-GenerateEvent.channel.CHANNEL_DEBUG.message)"
        name="Microsoft-Windows-GenerateEvent/Debug"
        symbol="CHANNEL_DEBUG"
        type="Debug"
        >
        <publishing>
          <level>2</level>
          <keywords>0xFFFFFFFF</keywords>
          <controlGuid>{d58c126f-b309-11d1-969e-0000f875a5bc}</controlGuid>
        </publishing>
        </channel>
       </provider>
    </events>
   </instrumentation>
</instrumentationManifest>

Le suivi WPP n’est pas destiné à être activé à tout le temps. Par défaut, l’attribut Enable dans le manifeste doit être défini sur false. Lorsque le suivi WPP est nécessaire, modifiez l’attribut dans le manifeste, de sorte que enabled="true ».

Vous ne pouvez pas spécifier ou sélectionner individuellement des bits de contrôle. Pour activer tous les événements WPP sur ce canal, spécifiez une valeur de mot clé de 0XFFFFFFFF. En interne, les bits de contrôle sont mappés aux mots clés ; si vous connaissez le bit mappé à un mot clé spécifique, vous pouvez sélectionner ce mot clé pour obtenir un ensemble spécifique d’événements. Dans l’exemple de manifeste, la valeur du mot clé est 0xFFFF, car moins de 16 bits de contrôle WPP sont nécessaires. Pour obtenir un ensemble spécifique d’événements après l’installation, vous pouvez modifier les mots clés à l’aide de l’utilitaire de ligne de commande wevtutil.exe. La commande est la suivante :

wevtutil sl< channel name>/k :<keyword value correspondant au bit de contrôle>

Notez que le canal doit d’abord être désactivé pour modifier la valeur du mot clé.

La déclaration d’un canal de cette façon permet au fournisseur WPP (dont le GUID de contrôle est spécifié) et au fournisseur Event Log (sous lequel ce canal est déclaré) d’accéder au canal de débogage, afin que l’un ou l’autre fournisseur puisse écrire dans ce canal. Les événements WPP ou les événements ETW normaux sont désormais visibles sous ce canal via l’observateur d’événements.

Les événements WPP ne sont pas décodés. Pour obtenir les chaînes de message associées à ces événements, placez les fichiers TMF dans le répertoire %windir%\System32\winevt\TraceFormat. Vous pouvez obtenir les fichiers TMF à l’aide d’un utilitaire tel que Tracepdb.exe, qui prend le fichier PDB pour l’entrée et retourne des fichiers TMF.