工具 - etl file references

這個是系統文件，直接打開看不了。
嘗試用記事本等軟件打開，全是亂碼。

tracerpt命令

1.打開CMD 命令， CD 到C：\ Windows\system32.
2.有個工具叫tracerpt.exe。
3.輸入tracerpt.exe -？

Examples:
tracerpt logfile1.etl logfile2.etl -o logdump.xml -of XML
tracerpt logfile.etl -o logdmp.xml -of XML -lr -summary logdmp.txt -report log
rpt.xml
tracerpt logfile1.etl logfile2.etl -o -report
tracerpt logfile.etl counterfile.blg -report logrpt.xml -df schema.xml
tracerpt -rt "NT Kernel Logger" -o logfile.csv -of CSV
tracerpt.exe abcd.etl -o abcd.xml -of XML.
4.這條命令的意思就是將abcd.etl 轉換成abcd.xml格式， 此時即可以看到在當前目錄下有一個叫abcd.xml的文件， 就能夠看到裏面的內容了。

WMI 數據服務

http://www.kafan.cn/edu/4594241.html

WMI是一項核心的Windows管理技術，WMI做爲一種規範和基礎結構，經過它能夠訪問、配置、管理和監視幾乎全部的Windows資源，好比用戶能夠在遠程計算機器上啓動一個進程；設定一個在特定日期和時間運行的進程；遠程啓動計算機；得到本地或遠程計算機的已安裝程序列表；查詢本地或遠程計算機的Windows事件日誌等等。
系統沒有WMI服務，或網路適配器共享時提示WMI錯誤等都可使用。
使用方法：複製並保存爲wmi.bat

@echo on
cd /d c:/temp
if not exist %windir%/system32/wbem goto TryInstall
cd /d %windir%/system32/wbem
net stop winmgmt
winmgmt /kill
if exist Rep_bak rd Rep_bak /s /q
rename Repository Rep_bak
for %%i in (*.dll) do RegSvr32 -s %%i
for %%i in (*.exe) do call :FixSrv %%i
for %%i in (*.mof,*.mfl) do Mofcomp %%i
net start winmgmt
goto End
:FixSrv
if /I (%1) == (wbemcntl.exe) goto SkipSrv
if /I (%1) == (wbemtest.exe) goto SkipSrv
if /I (%1) == (mofcomp.exe) goto SkipSrv
%1 /RegServer
:SkipSrv
goto End
:TryInstall
if not exist wmicore.exe goto End
wmicore /s
net start winmgmt
:End

生成的xml文件巨大無比有好幾兆，很是容易卡死。

<Events>
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    <System>
        <Provider Guid="{9e814aad-3204-11d2-9a82-006008a86939}" />
        <EventID>0</EventID>
        <Version>2</Version>
        <Level>0</Level>
        <Task>0</Task>
        <Opcode>0</Opcode>
        <Keywords>0x0</Keywords>
        <TimeCreated SystemTime="2015-10-12T23:41:42.753165800Z" />
        <Correlation ActivityID="{00000000-0000-0000-0000-000000000000}" />
        <Execution ProcessID="9040" ThreadID="2644" ProcessorID="0" KernelTime="30" UserTime="0" />
        <Channel />
        <Computer />
    </System>
    <EventData>
        <Data Name="BufferSize">   65536</Data>
        <Data Name="Version">83951878</Data>
        <Data Name="ProviderVersion">    7601</Data>
        <Data Name="NumberOfProcessors">       4</Data>
        <Data Name="EndTime">130891381795465582</Data>
        <Data Name="TimerResolution">  156001</Data>
        <Data Name="MaxFileSize">       0</Data>
        <Data Name="LogFileMode">0x10001</Data>
        <Data Name="BuffersWritten">      24</Data>
        <Data Name="StartBuffers">       1</Data>
        <Data Name="PointerSize">       8</Data>
        <Data Name="EventsLost">       0</Data>
        <Data Name="CPUSpeed">    2394</Data>
        <Data Name="LoggerName">0x0</Data>
        <Data Name="LogFileName">0x0</Data>
        <Data Name="BootTime">130891281581255994</Data>
        <Data Name="PerfFreq">2338369</Data>
        <Data Name="StartTime">130891381027531658</Data>
        <Data Name="ReservedFlags">0x1</Data>
        <Data Name="BuffersLost">       0</Data>
        <Data Name="SessionNameString">Relogger</Data>
        <Data Name="LogFileNameString">C:\kernel.etl</Data>
    </EventData>
    <RenderingInfo Culture="zh-CN">
        <Opcode>Header</Opcode>
        <Provider>MSNT_SystemTrace</Provider>
        <EventName xmlns="http://schemas.microsoft.com/win/2004/08/events/trace">EventTrace</EventName>
    </RenderingInfo>
    <ExtendedTracingInfo xmlns="http://schemas.microsoft.com/win/2004/08/events/trace">
        <EventGuid>{68fdd900-4a3e-11d1-84f4-0000f80464e3}</EventGuid>
    </ExtendedTracingInfo>
</Event>