要使用 Trace Logging(跟踪日志记录)工具收集 Host Intrusion Prevention (Host IPS) 8.0 for Windows 的事件跟踪日志 (ETL) 或 Windows 事件跟踪 (ETW) 日志,请执行以下操作:
- 启用 Host IPS 8.0 调试日志记录。 请参阅 KB72869 了解详细信息。
- 将文中附带的 EtlTrace.zip 工具下载到运行 Host IPS 软件的受影响系统。
- 将 EtlTrace.zip 工具解压缩到本地目录。
- 依次单击开始、运行、键入 cmd 并单击确定,打开命令提示符。
注意:对于 Windows Vista(及更高版本)操作系统,您需要以右键单击 cmd.exe 快捷方式,然后选择以管理员身份运行,以打开管理命令提示符。
- 浏览到 EtlTrace.zip 解压缩到的目录,然后使用管理权限运行以下命令:
EtlTrace.exe -Start
注意:ETL 日志记录启动之后,请勿重新启动计算机,因为重新启动计算机会中断日志记录进程。
- 再现此问题。
- 返回到命令提示符,然后运行以下命令:
EtlTrace.exe -Stop
- 收集 EtlTrace.log 和 Syscore.etl 文件,以供技术支持使用。
EtlTrace.exe 还支持在 Windows Vista 及更高版本的操作系统上引导日志跟踪:
- 启用 Host IPS 8.0 调试日志记录。 请参阅 KB72869 了解详细信息。
- 将 EtlTrace.zip 工具(文中已附)下载到运行 Host IPS 软件的受影响系统。
- 将 EtlTrace.zip 工具解压缩到本地目录。
- 依次单击开始、运行、键入 cmd 并单击确定,打开命令提示符。
- 浏览到 EtlTrace.zip 解压缩到的目录,然后运行以下命令:
EtlTrace.exe -StartBoot
- 重新启动计算机。
- 在命令提示符处运行以下命令:
EtlTrace.exe -StopBoot
- 收集 EtlTrace.log 和 Syscore.etl 文件,以供技术支持使用。
注意:对于 Windows 2012 R2 系统,使用 EtlTrace.exe 时的引导时间 ETL 限定为 100 KB。要去除此限制,请在重新启动之前添加以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\_Syscore_Etl_Trace
(DWORD) BufferSize = 0x20
(DWORD) MaximumBuffers = 0x40
注意:本文包含打开或修改注册表的信息。
