windows - 如何使用来自 Microsoft-Windows-NDIS-PacketCapture 提供程序的实时 ETW 事件？

Question

更大的问题是一般如何使用实时 ETW 网络堆栈事件，但我对 Microsoft-Windows-NDIS-PacketCapture 提供程序 特别感兴趣。所有其他网络堆栈提供程序部分工作，但 NDIS-PacketCapture (NDIS-PC) 根本不工作，所以这可能是我在这里可以问的最简单的问题。

我使用下面的代码作为基础，并进行了很少的修改以使其实时工作: http://msdn.microsoft.com/en-us/library/windows/desktop/ee441325(v=vs.85).aspx

我所做的更改是:

1. 在执行任何操作之前调用 StartTrace 启动 NDIS-PC session 别的。在属性结构 EVENT_TRACE_PROPERTIES 中，设置LogFileMode = EVENT_TRACE_REAL_TIME_MODE，LogFileNameOffset = 0，和 Wnode.Guid = 我编造的随机 GUID。

2. 调用状态 = EnableTraceEx2(hSession, &Current_Guid,EVENT_CONTROL_CODE_ENABLE_PROVIDER, TRACE_LEVEL_VERBOSE, 0, 0, 0, 无效的);其中 hSession 是使用 StartTrace 开始的 session ，并且 Current_Guid 是

   {0x2ED6006E,0x4729,0x4609,{0xB4,0x23,0x3E,0xE7,0xBC,0xD6,0x78,0xEF}};

3. 然后使用 LoggerName = 一些宽字符串调用 OpenTrace，LogFileName = NULL，并且 LogFileMode = EVENT_TRACE_REAL_TIME_MODE；

4. 最后在刚刚打开的跟踪句柄上调用 ProcessTrace以上。

5. 同样，其他一切都与 MSDN 示例中提供的相同

使用相同的代码，只需将提供程序更改到其他任何东西，例如 Microsoft-Windows-Winsock-AFD 或 Microsoft-Windows-TCPIP 让我调用我定义的记录回调(但是，我仍然无法检索属性，但我不会进一步深入研究以尽可能简单地保持这个概率)。当我使用 NDIS-PC 时，我得到 0 个回调。我尝试使用 ControlTrace 手动刷新但没有成功。我也尝试过定义“EventCallback”而不是“EventRecordCallback”，但没有成功。

我查看了此过程中涉及的所有数据结构，并在每个提供者之间进行了比较，它们看起来都是正确且相同的。我查看了函数的所有返回值和返回的数据结构，它们在我尝试过的提供程序之间看起来也一样。

我通过调用“logman“My Trace Session 04”-ets”查看了 session 属性，它看起来与 NDIS-PC 和 TCPIP 相同:

C:\windows\system32>logman "My Trace Session 04" -ets

Name: My Trace Session 04 Status:
Running Root Path: %systemdrive%\PerfLogs\Admin Segment:
Off Schedules: On

Name: My Trace Session 04\My Trace Session 04 Type:
Trace Append: Off Circular: Off Overwrite:
Off Buffer Size: 64 Buffers Lost: 0 Buffers Written: 0 Buffer Flush Timer: 1 Clock Type: Performance File Mode: Real-time

Provider: Name: Microsoft-Windows-NDIS-PacketCapture Provider Guid: {2ED6006E-4729-4609-B423-3EE7BCD678EF} Level:
5 (win:Verbose) KeywordsAll: 0x0 KeywordsAny:
0xffffffffffffffff (Ethernet802.3,WirelessWAN,Tunnel,Nativ e802.11,PacketStart,PacketEnd,ut:SendPath,ut:ReceivePath,ut:L3ConnectPath,ut:L2C onnectPath,ut:ClosePath,ut:Authentication,ut:Configuration,ut:Global,ut:Dropped, ut:PiiPresent,ut:Packet,ut:Address,ut:StdTemplateHint,ut:StateTransition,win:Res ponseTime,Microsoft-Windows-NDIS-PacketCapture/Diagnostic,0x2,0x4,0x8,0x10,0x20, 0x40,0x80,0x100,0x400,0x800,0x1000,0x2000,0x4000,0x20000,0x40000,0x80000,0x10000 0,0x200000,0x400000,0x800000,0x1000000,0x2000000,0x4000000,0x8000000,0x10000000, 0x20000000,0x400000000000,0x800000000000,0x2000000000000,0x4000000000000,0x80000 00000000,0x10000000000000,0x20000000000000,0x40000000000000,0x80000000000000,0x1 00000000000000,0x200000000000000,0x400000000000000,0x800000000000000,0x100000000 0000000,0x2000000000000000,0x4000000000000000) Properties: 0 Filter Type: 0

The command completed successfully.

我也尝试过使用 logman 手动启动 session ，然后在代码中打开它进行处理，但这对我也不起作用。我也试过只写入一个 ETL 文件，但这也不起作用。我尝试了很多其他方法，但没有任何效果。

我在 Internet 上浏览了与实时 ETW 使用相关的所有内容(MSDN、Google 搜索、Stackoverflow 等)，但我还没有看到实时 ETW 事件的一个完整示例消费。所有示例都显示了 ETL 文件中的事件消耗或将记录的事件导出到 ETL 文件，然后只是说要进行一些参数更改以使实时消耗正常工作。我相信我上面总结的代码更改反射(reflect)了这些更改。

我在 Win7 Ultimate 上使用 VS2010 SP1 创建 32 位控制台应用程序。我也尝试过创建 64 位应用程序，但没有任何改进。

以下两个帖子是相关的，但在我尝试/执行时对我没有任何影响。在实时模式下，代码将 session 名称复制到属性结构的末尾，日志文件偏移无论如何都需要为 0。我认为我没有任何对齐问题，因为所有其他提供程序都工作得很好:

Windows ETW: Kernel consumer receives no EventCallback or BufferCallback events Windows ETW: StartTrace failing with error 87 (ERROR_INVALID_PARAMETER)

我觉得我遗漏了一些小而微不足道的东西，这应该可以工作。如果有任何帮助，我将不胜感激。

Answer 1

如果您查看“netsh trace”命令在内部执行的操作，您会发现它们将 NDIS 轻量级过滤器驱动程序附加到各种网络接口(interface)。只有附加并激活此过滤器后，您才能从该提供商处获得事件。该设施的详细信息未记录在案，可能会发生变化。 netsh 跟踪命令的所有逻辑都在 nettrace.dll 中实现，您可以借助 Microsoft 的公共(public)符号对其进行逆向工程。具体来说，CInboxCapture 类具有确定驱动程序是否已启动、将其绑定(bind)到适当的网络接口(interface)并启动它的代码。如果您按照 nettrace.dll 的方式启动捕获过滤器驱动程序，您将获得数据包捕获事件。

祝你好运。