ETW(Windows事件跟踪) ETW是一种跟踪工具,它允许用户将事件记录到文件或缓冲区中。 可以在找到ETW的概述。 基本体系结构包括提供者,控制器和使用者。 控制器定义并控制捕获会话。 这包括提供者在其中以及开始和停止会话。 使用GUID(全局唯一标识符)指定的提供程序将事件记录到一系列缓冲区中。 使用者从缓冲区或文件接收消息,并按时间顺序对其进行处理。 该模块是围绕Win32 API的完全基于Python的ctypes包装器,用于控制ETW会话和处理消息数据。 该模块非常灵活,可以设置捕获前或捕获后的过滤器。 用法 要使用此模块,请导入etw并通过传入要从中捕获数据的提供者的Pro