python读取windows日志etw实践

在学习ETW过程中想动手实践测试ETW，但是中间遇到了一些小坑。火眼的github并没有写详细的示例，通过互联网搜索和虚拟机测试终于实践成功。

1、安装

安装python3；

github下载pywintrace-master开源代码安装“python setup.py install”，https://github.com/fireeye/pywintrace；

安装MessageAnalyzer64.msi（工具已下线，需第三方下载）；

2、获取windows的provider列表

命令：logman query providers

 

 3、代码测试

将github示例代码simple_calss.py中的ProviderInfo和GUID替换为windows 10提供的provider

providers = [etw.ProviderInfo('Microsoft-Windows-PowerShell', etw.GUID("{A0C1853B-5C40-4B15-8766-3CF1C58F985A}"))]

启动并打开powershell执行命令测试，我这里将数据解析稍微修改了一下，如果不修改会全量输出。

python simple_calss.py

 

 

 MessageAnalyzer安装后开启trace即可，自己琢磨琢磨怎么用。