使用 Trace Logging 工具,收集 Host Intrusion Prevention (Host IPS) 8.0 for Windows 的事件追蹤記錄 (ETL) 或 Event Tracing for Windows (ETW) 記錄:
- 啟用 Host IPS 8.0 偵錯記錄。 如需詳細資料,請參閱 KB72869。
- 將 EtlTrace.zip 工具 (已附加至本文) 下載至執行 Host IPS 軟體的受影響系統。
- 將 EtlTrace.zip 工具解壓縮至本機目錄。
- 按一下開始、執行,鍵入 cmd 並按一下確定,以開啟命令提示字元。
附註:針對 Windows Vista (及更新版本) 的作業系統,您必須在 cmd.exe 捷徑上按一下滑鼠右鍵,選取以系統管理員身分執行,以開啟管理命令提示字元。
- 導覽至解壓縮 EtlTrace.zip 的目標目錄,然後以管理權限執行下列命令:
EtlTrace.exe -Start
附註:啟動 ETL 記錄後請不要重新啟動電腦,因為這將會中斷記錄處理程序。
- 重現問題。
- 返回命令提示字元,並執行下列命令:
EtlTrace.exe -Stop
- 收集 EtlTrace.log 和 Syscore.etl 檔案以供技術支援使用。
EtlTrace.exe 亦支援 Windows Vista 及更新版本作業系統的開機記錄追蹤。
- 啟用 Host IPS 8.0 偵錯記錄。 如需詳細資料,請參閱 KB72869。
- 將 EtlTrace.zip 工具 (已附加至本文) 下載至執行 Host IPS 軟體的受影響系統。
- 將 EtlTrace.zip 工具解壓縮至本機目錄。
- 按一下開始、執行,鍵入 cmd 並按一下確定,以開啟命令提示字元。
- 導覽至解壓縮 EtlTrace.zip 的目標目錄,然後執行下列命令:
EtlTrace.exe -StartBoot
- 重新啟動電腦。
- 在命令提示字元中,執行下列命令:
EtlTrace.exe -StopBoot
- 收集 EtlTrace.log 和 Syscore.etl 檔案以供技術支援使用。
附註:針對 Windows 2012 R2 系統,使用 EtlTrace.exe 時的開機時間 ETL 限制為 100 KB。若要移除此限制,請在重新開機前新增下列登錄機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\_Syscore_Etl_Trace
(DWORD) BufferSize = 0x20
(DWORD) MaximumBuffers = 0x40
注意:本文包含有關開啟或修改登錄的資訊。
