troushoo

カーネルダンプからイベントログを抽出

カーネルダンプから、まだディスクに吐き出されていないイベントログを抽出する方法を紹介します。

カーネルダンプからイベントログを抽出する方法
1. カーネルダンプをWinDbg で開きます。

2. 「!wmitrace.strdump」 を実行し、確認したいイベントログの「Id」を確認します。
例えば、以下の例では、システム のイベントログ(= EventLog-System) のId は0x09 になります。


3. 「!wmitrace.eventlogdump <上記2 で確認したイベントログのId>」を実行します。


4. 結果、カーネルダンプに残っていたイベントログを確認することができます。


情報元
Defrag Tools: #29 - WinDbg - ETW Logging (英語)

関連記事
カーネルダンプからETWログを抽出

  1. 2015/07/05(日) 22:45:24|
  2. WinDbg
  3. | トラックバック:0
  4. | コメント:0
<<Azure 上の仮想マシンにリモートパワーシェル | ホーム | レジストリキーの最終書き込み時刻を調べる2つの方法>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
https://troushoo.blog.fc2.com/tb.php/246-7a4a7617
この記事にトラックバックする(FC2ブログユーザー)

スポンサーリンク

最新記事

月別アーカイブ

カテゴリ

ツール (114)
ネットワーク (54)
Wireshark (48)
AD (36)
Linux (45)
WinDbg (46)
SOS・Psscor2/Psscor4 (25)
Visual Studio (56)
Tips (32)
コンテナ (4)
Azure (17)
.NET (24)
Python (9)
Java (5)
SQL (6)
事例 (1)
英語 (1)
About Me (1)
未分類 (0)

全記事表示リンク

全ての記事を表示する

検索フォーム


RSSリンクの表示

リンク

このブログをリンクに追加する