MS 消息分析器中的程序名稱

我正在嘗試完全按照本參考資料中的說明設置消息分析器查看器，但是在 ProcessName 和 ProcessID 列中，我得到了一些奇怪的數字，而不是穩定的程序名稱。

我使用標準無線場景

並關注 ETW 提供商

抓拍得到的netsh trace start scenario=wlan capture=yes景色相同

如何在這裡獲取程序名稱？

似乎需要 Windows_Kernel_Trace 消息來提供程序名稱。我遇到了與您在會話開始之前應用會話過濾器（包括 IP 地址過濾器）相同的問題。我將過濾器更改為：

!(*Port in [3389, 1494, 1503]) and (IPv4.Address == 10.0.0.123 or Windows_Kernel_Trace)

現在大多數消息都會顯示程序名稱。

我將其作為中間答案發布，直到我從 Microsoft 獲得有關此問題的詳細評論（可能永遠不會發生）。

通過反複試驗，我發現只有在實時跟踪開始之前指定會話過濾器時才會發生上述問題。我使用非常大的基於 IP 的過濾，如下所示：

*Port!=3389 and
((IPv4.Address in 2.16.106.48/28 ) or
(IPv4.Address in 2.16.106.64/27 ) or
(IPv4.Address in 2.16.106.96/28 ) or
(IPv4.Address in 2.16.106.112/29 ) or
(IPv4.Address in 2.16.106.120/31 ) or
(IPv4.Address in 2.16.106.122/32 ) or
(IPv4.Address ==  2.19.177.129 ) or
...
many lines

但是，如果我在會話開始後應用會話過濾器 ，那麼一切都會正常並且程序名稱會按預期顯示。我無法正確解釋這種現象，因為過濾與程序名稱（由核心提供）無關，顯然它與您應用過濾器的那一刻無關，也應該無關：在會話開始之後或之前。

微軟的又一敗筆……

引用自：https://serverfault.com/questions/830848