1 ответов в теме

[Konstantin Yudin]

Наши драйвера поддерживают системную трассировку событий, для систем Vista+ Давно хотелось описать как включать. Ибо плюсы и вам и нам.

Чтобы ее активировать нужно проделать следующее:

1. импортировать в реестр:
 
DwProt:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\DwProtLogger]
"GUID"="{C6333DCF-5F90-4b53-91F1-3CCECF241136}"
"Start"=dword:00000001
"Status"=dword:00000000
"BufferSize"=dword:00004000
"FlushTimer"=dword:00000002
"EnableKernelFlags"=dword:00000000
"LogFileMode"=dword:00000001
"MaxFileSize"=dword:00000064
"FileName"="C:\\dwprottrace.etl"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\DwProtLogger\{C6333DCF-5F90-4b53-91F1-3CCECF241136}]
"Enabled"=dword:00000001
"EnableLevel"=dword:000000ff
"MatchAnyKeyword"=hex(b):ff,ff,ff,ff,ff,ff,ff,ff

SpIDer G3:
 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\SpIDerG3Logger]
"GUID"="{0D54F1B1-CC1E-4f14-8ED5-9B5CAE6D1444}"
"Start"=dword:00000001
"Status"=dword:00000000
"BufferSize"=dword:00004000
"FlushTimer"=dword:00000002
"EnableKernelFlags"=dword:00000000
"LogFileMode"=dword:00000001
"MaxFileSize"=dword:00000064
"FileName"="C:\\spiderg3trace.etl"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\SpIDerG3Logger\{0D54F1B1-CC1E-4f14-8ED5-9B5CAE6D1444}]
"Enabled"=dword:00000001
"EnableLevel"=dword:000000ff
"MatchAnyKeyword"=hex(b):ff,ff,ff,ff,ff,ff,ff,ff

Shield:
 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\ShieldLogger]
"GUID"="{E035D65E-3294-4588-8AC9-E98464782529}"
"Start"=dword:00000001
"Status"=dword:00000000
"BufferSize"=dword:00004000
"FlushTimer"=dword:00000002
"EnableKernelFlags"=dword:00000000
"LogFileMode"=dword:00000001
"MaxFileSize"=dword:00000064
"FileName"="C:\\shieldtrace.etl"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\ShieldLogger\{E035D65E-3294-4588-8AC9-E98464782529}]
"Enabled"=dword:00000001
"EnableLevel"=dword:000000ff
"MatchAnyKeyword"=hex(b):ff,ff,ff,ff,ff,ff,ff,ff

ArkApi:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\ArkApiLogger]
"GUID"="{DAFE13A7-31CB-4F28-BC84-D2D085FA203F}"
"Start"=dword:00000001
"Status"=dword:00000000
"BufferSize"=dword:00004000
"FlushTimer"=dword:00000002
"EnableKernelFlags"=dword:00000000
"LogFileMode"=dword:00000001
"MaxFileSize"=dword:00000064
"FileName"="C:\\arkapitrace.etl"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\ArkApiLogger\{DAFE13A7-31CB-4F28-BC84-D2D085FA203F}]
"Enabled"=dword:00000001
"EnableLevel"=dword:000000ff
"MatchAnyKeyword"=hex(b):ff,ff,ff,ff,ff,ff,ff,ff

при необходимости отредактируйте параметр: FileName на нужный путь. не стоит задавать пути не на системном диске или в глубине.

2. выберите режим сбора который вам скажут:

2.1 для запуска сбора на лету:

Нажмите правой кнопкой мыши по кнопки "Пуск/Start", выбрать пункт "Управление компьютером/Computer Managment", раскройте группу "Производительность/Perfomance", далее "Группы сборщиков данных/Data Collector Sets", далее "Сеансы отслеживания событий запуска/Startup Event Trace Sessions" найдите "DWProtLogger" или "SpIDerG3Logger" или "ShieldLogger", нажмите на нём правой кнопкой мыши, выберите пункт "Запустить как сеанс отслеживания событий/Start As Event Trace Session", автоматически переход будет выполнен в группу "Сеансы отслеживания событий/Event Trace Sessions", состояние "DWProtLogger" или "SpIDerG3Logger" или "ShieldLogger" будет "Работает/Running".

2.2 для запуска сбора после перезагрузки. просто перегрузите машину. после перезагрузки будет создан трейс лог.

3. воспроизведите проблему. и скопируйте получившийся трейс лог.

4. Нажмите правой кнопкой мыши по кнопки "Пуск/Start", выбрать пункт "Управление компьютером/Computer Managment", раскройте группу "Производительность/Perfomance", далее "Группы сборщиков данных/Data Collector Sets", далее "Сеансы отслеживания событий запуска/Startup Event Trace Sessions" найдите "DWProtLogger" или "SpIDerG3Logger" или "ShieldLogger", нажмите на нём правой кнопкой мыши, выберите пункт "Удалить/Delete". Если пункт не доступен, перейдите в "Сеансы отслеживания событий/Event Trace Sessions" и остановите "DWProtLogger" или "SpIDerG3Logger" или "ShieldLogger", выбрав пункт "Остановить/Stop" правой кнопкой мыши. Вернитесь назад в "Сеансы отслеживания событий запуска/Startup Event Trace Sessions" и удалите "DWProtLogger" или "SpIDerG3Logger" или "ShieldLogger".

для надежности можно удалить (если есть) в реестре ключи:
 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\DwProtLogger
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\SpIDerG3Logger
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\ShieldLogger

Сообщение было изменено Konstantin Yudin: 17 Сентябрь 2015 - 15:05

[RomaNNN]

Готовые .reg файлы для экспорта в реестр, чтобы не вбвивать вручную:

 

 DrWeb_logger.rar   1,18К   15 Скачано раз

 

Расположение трейсов:

"C:\dwprottrace.etl"

"C:\spiderg3trace.etl"

"C:\shieldtrace.etl"