INF AddAutoLogger 和 UpdateAutoLogger 指令
AddAutoLogger 和 UpdateAutoLogger 指令在 INF DDInstall 中使用。“事件”部分。 它们指定 Windows (ETW) 自动记录器会话的特征,这些会话记录操作系统启动过程中早期发生的事件。 从 Windows 11 开始支持这些指令。
[DDInstall.Events]
AddAutoLogger=session-name,{SessionGUID},add-autologger-install-section
UpdateAutoLogger=session-name,update-autologger-install-section
...
项
session-name
指定要添加的 AutoLogger 会话的名称。 此名称在计算机上的一组 AutoLogger 会话中必须是唯一的。 建议会话名称包含公司名称或公司名称的缩写,以免与其他公司的会话名称冲突。
SessionGUID
指定标识 AutoLogger 会话的 GUID 值。 这可以表示为窗体{nnnnnnnn-nnnn-nnnn-nnnn-nnnnnnnnnnnn}的显式 GUID 值,也可以表示为 INF 文件的 Strings 节中定义的 {nnnnnnnn-nnnn-nnnn-nnnn-nnnnnnnnnnnn} %strkey% 标记。
add-autologger-install-section
引用 INF 编写器定义的节,该节包含用于注册自动记录器的信息。 有关详细信息,请参阅以下 “备注” 部分。
update-autologger-install-section
引用 INF 编写器定义的节,该节包含用于将提供程序添加到现有 AutoLogger 的信息。 有关详细信息,请参阅以下 “备注” 部分。
注解
有关 AutoLogger 的详细信息,请参阅 配置和启动 AutoLogger 会话。
INF 编写器创建的每个节名称在 INF 文件中必须唯一,并且必须遵循定义节名称的一般规则。 有关这些规则的详细信息,请参阅 INF 文件的一般语法规则。
AddAutoLogger 指令必须引用 INF 文件中其他位置的名称 add-autologger-install-section。 每个部分具有以下形式:
[add-autologger-install-section]
Start=<0 | 1>
[BufferSize=buffer-size]
[ClockType=clock-type]
[DisableRealtimePersistence= <0 | 1>]
[FileName=path-to-file]
[FileMax=file-max]
[FlushTimer=flush-timer]
[LogFileMode=log-file-mode]
[MaxFileSize=max-file-size]
[MaximumBuffers=max-buffers]
[MinimumBuffers=min-buffers]
(AddAutoLoggerProvider={ProviderGUID},autologger-provider-install-section)
…
每个 add-autologger-install-section 都必须提供 Start。 (可选)使用 AddAutoLoggerProvider 为 AutoLogger 指定一个或多个 AutoLogger 提供程序,每个提供程序在单独的行上。 有关 INF 文件中的 AutoLogger 提供程序的详细信息,请参阅下面的 添加 AutoLogger 提供程序 。
UpdateAutoLogger 指令必须引用 INF 文件中的其他位置命名的 update-autologger-install-section。 每个此类部分具有以下形式:
[update-autologger-install-section]
(AddAutoLoggerProvider={ProviderGUID},autologger-provider-install-section)
…
每个 update-autologger-install-section 都可以使用 AddAutoLoggerProvider 指定一个或多个 AutoLogger 提供程序,每个提供程序在单独的行上。 有关 INF 文件中的 AutoLogger 提供程序的详细信息,请参阅下面的 添加 AutoLogger 提供程序 。
Add-AutoLogger-Install-Section 条目和值
开始=0 | 1
指定下次重启计算机时是否将启动自动记录器。 若要启动自动记录器,请将此值设置为 1,否则将此值设置为 0。
BufferSize=buffer-size
(可选)指定每个缓冲区的大小(以 KB 为单位)。
BufferSize 应小于 1 MB。 如果未设置此值,ETW 将使用物理内存的大小来计算此值。
ClockType=clock-type
(可选)指定使用以下数值记录每个事件的时间戳时使用的计时器,这些数值以十进制表示法表示,或者用十六进制表示法表示,如以下列表所示。 如果省略,则默认 0x1 (性能 计数器值) 。
0x1 (性能计数器值)
0x2 (系统计时器)
0x3 (CPU 周期计数器)
有关每种时钟类型的说明,请参阅 WNODE_HEADER 的 ClientContext 成员。
DisableRealtimePersistence=0 | 1
(可选)允许通过将值设置为 1 来禁用实时持久性。 默认值为 0 (启用) 。 如果启用了实时持久性,则计算机关闭时未传递的实时事件将持久保存。 然后,当使用者下次连接到会话时,事件将传送给使用者。
文件名=file-name
(可选)指定日志文件的完全限定路径。 如果路径不存在,则首次启动自动记录器时将尽力创建。
FileName 的长度限制为 1024 个字符。 该文件是顺序日志文件。 默认文件路径为 %DriverData%\<SessionName.etl>。
FileMax=file-max
(可选)指定 ETW 创建的日志文件的最大实例数。 创建最大文件数后,ETW 会覆盖第一个文件(如果存在)。 支持的日志文件的最大实例数为 16。 请勿将此功能与 EVENT_TRACE_FILE_MODE_NEWLINE LogFileMode 一起使用。
FlushTimer=flush-timer
(可选)指定强制刷新跟踪缓冲区的频率(以秒为单位)。 最小刷新时间为 1 秒。 默认值为 0。 默认情况下,仅当缓冲区已满时才刷新缓冲区。
LogFileMode=log-file-mode
(可选)指定一个或多个日志模式。 有关可能的值,请参阅 日志记录模式常量。 默认值为 0x1 (EVENT_TRACE_FILE_MODE_SEQUENTIAL) 。
MaxFileSize=max-file-size
(可选)指定日志文件的最大文件大小(以 MB 为单位)。 除非在 LogFileMode 中指定了EVENT_TRACE_FILE_MODE_CIRCULAR,否则会话在达到最大大小时关闭。 若要指定无限制,请将值设置为 0。 默认值为 100 mb。 达到最大文件大小时发生的行为取决于 LogFileMode 的值。
MaximumBuffers=maximum-buffers
(可选)指定要分配的最大缓冲区数,通常为最小缓冲区数加 20。 此值必须大于或等于 MinimumBuffers 的值。
MinimumBuffers=minimum-buffers
(可选)指定要在启动时分配的最小缓冲区数。 可以指定的缓冲区的最小数目为每个处理器两个缓冲区。
AddAutoLoggerProvider={ProviderGUID},autologger-provider-install-section
(可选)指定具有子指令的提供程序,该子指令引用 INF 文件中其他位置的 INF 编写器定义的 autologger-provider-install-section。 有关详细信息,请参阅以下 添加 AutoLogger 提供程序 部分。
添加 AutoLogger 提供程序
在 add-autologger-install-section 和 update-autologger-install-section 部分中,可以使用 AddAutoLoggerProvider 指令指定要在会话中启用的提供程序。
ProviderGUID 必须是标识 AutoLogger 提供程序的 GUID 值。 这可以表示为形式为 {nnnnnnnn-nnnn-nnnn-nnnn-nnnn-nnnnnnnnnn} 形式的显式 GUID 值,或表示为 INF 文件的 Strings 节中为 {nnnnnn-nnnn-nnnn-nn-nnnn}定义的 %strkey% 标记。
AddAutoLoggerProvider 子指令还必须引用文件中其他位置的 autologger-provider-install-section 。 每个此类部分具有以下形式:
[autologger-provider-install-section]
[Enabled=<0 | 1>]
[EnableFlags=enable-flags]
[EnableLevel=enable-level]
[EnablePropety=enable-property]
[MatchAnyKeyword=match-any-keyword]
[MatchAllKeyword=match-all-keyword]
AutoLogger-Provider-Install-Section 条目和值
启用=0 | 1
(可选)提供是否启用提供程序。 若要启用提供程序,请将此值设置为 1。 若要禁用,请将值设置为 0。 默认值为 0。
EnableFlags=enable-flags
(可选)指定提供程序为其生成事件的事件的类。 有关详细信息,请参阅 EnableTraceEx 函数的 EnableFlags 参数。 如果提供程序不支持 MatchAnyKeyword 或 MatchAllKeyword,请指定此值名称。
EnableLevel=enable-level
(可选)提供事件中包含的详细信息级别。 有关预定义级别的列表,请参阅 EnableTraceEx 函数的 Level 参数。
EnableProperty=enable-property
(可选)在日志文件中包含以下一个或多个项:
0x00000001 (EVENT_ENABLE_PROPERTY_SID) = 在扩展数据中包括用户的安全标识符 (SID) 。
0x00000002 (EVENT_ENABLE_PROPERTY_TS_ID) = 在扩展数据中包括终端会话标识符。
0x00000004 (EVENT_ENABLE_PROPERTY_STACK_TRACE) = 在扩展数据中包含使用 EventWrite 写入的事件的调用堆栈跟踪。
0x00000010 (EVENT_ENABLE_PROPERTY_IGNORE_KEYWORD_0) = 筛选掉未指定非零关键字 (keyword) 的所有事件。
0x00000020 (EVENT_ENABLE_PROPERTY_PROVIDER_GROUP) = 指示对 EnableTraceEx2 的此调用应启用 提供程序组 而不是单个事件提供程序。
0x00000080 (EVENT_ENABLE_PROPERTY_PROCESS_START_KEY) = 在扩展数据中包含进程启动键。
0x00000100 (EVENT_ENABLE_PROPERTY_EVENT_KEY) = 在扩展数据中包含事件键。
0x00000200 (EVENT_ENABLE_PROPERTY_EXCLUDE_INPRIVATE) = 筛选出标记为 InPrivate 事件或来自标记为 InPrivate 的进程的所有事件。
MatchAnyKeyword=match-any-关键字 (keyword)
(可选)提供关键字的位掩码,用于确定你希望提供程序写入的事件类别。 如果事件的任何关键字 (keyword) 位与此掩码中设置的任何位匹配,提供程序将写入事件。 若要指定提供程序写入所有事件,请将此值设置为零。 有关示例,请参阅 EnableTraceEx 函数的“备注”部分。
MatchAllKeyword=match-all-关键字 (keyword)
(可选)限制希望提供程序写入的事件类别。 如果事件的关键字 (keyword) 满足 MatchAnyKeyword 条件,则仅当事件关键字 (keyword) 中存在此掩码中的所有位时,提供程序才会写入事件。 如果 MatchAnyKeyword 为零,则不使用此掩码。 有关示例,请参阅 EnableTraceEx 函数的“备注”部分。
示例
[Contoso_Add_AutoLogger_Inst]
Start = 1
FileName = %%DriverData%%\Contoso\AutoLoggerLogFile.etl
AddAutoLoggerProvider = {4b8b1947-ae4d-54e2-826a-1aee78ef05b2}, Contoso_Provider_1_Inst
[Contoso_Update_AutoLogger_Inst]
AddAutoLoggerProvider= {a55d5a23-1a5b-580a-2be5-d7188f43fae1}, Contoso_Provider_2_Inst
[Contoso_Provider_1_Inst]
Enabled = 1
EnableProperty = 0x00000001
[Contoso_Provider_2_Inst]
Enabled = 1
传统兼容性
从 Windows 11 开始支持 AddAutoLogger 和 UpdateAutoLogger 指令。 若要在下层 OS 上配置 AutoLogger,请使用 AddReg 指令。
[Contoso_AutoLogger_AddReg]
HKLM,SYSTEM\CurrentControlSet\Control\WMI\Autologger\<autologger-session-name>,Start,0x00010001,1
HKLM,SYSTEM\CurrentControlSet\Control\WMI\Autologger\<autologger-session-name>,GUID,,{autologger-guid}
HKLM,SYSTEM\CurrentControlSet\Control\WMI\Autologger\<autologger-session-name>\{autologger-provider-guid},Enabled,0x00010001,1