这个是系统文件,直接打开看不了。
尝试用记事本等软件打开,全是乱码。
tracerpt命令
1.打开CMD 命令, CD 到C:\ Windows\system32.
2.有个工具叫tracerpt.exe。
3.输入tracerpt.exe -?
Examples:
tracerpt logfile1.etl logfile2.etl -o logdump.xml -of XML
tracerpt logfile.etl -o logdmp.xml -of XML -lr -summary logdmp.txt -report log
rpt.xml
tracerpt logfile1.etl logfile2.etl -o -report
tracerpt logfile.etl counterfile.blg -report logrpt.xml -df schema.xml
tracerpt -rt "NT Kernel Logger" -o logfile.csv -of CSV
tracerpt.exe abcd.etl -o abcd.xml -of XML.
4.这条命令的意思就是将abcd.etl 转换成abcd.xml格式, 此时便可以看到在当前目录下有一个叫abcd.xml的文件, 就可以看到里面的内容了。
WMI 数据服务
http://www.kafan.cn/edu/4594241.html
WMI是一项核心的Windows管理技术,WMI作为一种规范和基础结构,通过它可以访问、配置、管理和监视几乎所有的Windows资源,比如用户可以在远程计算机器上启动一个进程;设定一个在特定日期和时间运行的进程;远程启动计算机;获得本地或远程计算机的已安装程序列表;查询本地或远程计算机的Windows事件日志等等。
系统没有WMI服务,或网路适配器共享时提示WMI错误等均可使用。
使用方法:复制并保存为wmi.bat
@echo on
cd /d c:/temp
if not exist %windir%/system32/wbem goto TryInstall
cd /d %windir%/system32/wbem
net stop winmgmt
winmgmt /kill
if exist Rep_bak rd Rep_bak /s /q
rename Repository Rep_bak
for %%i in (*.dll) do RegSvr32 -s %%i
for %%i in (*.exe) do call :FixSrv %%i
for %%i in (*.mof,*.mfl) do Mofcomp %%i
net start winmgmt
goto End
:FixSrv
if /I (%1) == (wbemcntl.exe) goto SkipSrv
if /I (%1) == (wbemtest.exe) goto SkipSrv
if /I (%1) == (mofcomp.exe) goto SkipSrv
%1 /RegServer
:SkipSrv
goto End
:TryInstall
if not exist wmicore.exe goto End
wmicore /s
net start winmgmt
:End
生成的xml文件巨大无比有好几兆,非常容易卡死。
<Events>
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Guid="{9e814aad-3204-11d2-9a82-006008a86939}" />
<EventID>0</EventID>
<Version>2</Version>
<Level>0</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x0</Keywords>
<TimeCreated SystemTime="2015-10-12T23:41:42.753165800Z" />
<Correlation ActivityID="{00000000-0000-0000-0000-000000000000}" />
<Execution ProcessID="9040" ThreadID="2644" ProcessorID="0" KernelTime="30" UserTime="0" />
<Channel />
<Computer />
</System>
<EventData>
<Data Name="BufferSize"> 65536</Data>
<Data Name="Version">83951878</Data>
<Data Name="ProviderVersion"> 7601</Data>
<Data Name="NumberOfProcessors"> 4</Data>
<Data Name="EndTime">130891381795465582</Data>
<Data Name="TimerResolution"> 156001</Data>
<Data Name="MaxFileSize"> 0</Data>
<Data Name="LogFileMode">0x10001</Data>
<Data Name="BuffersWritten"> 24</Data>
<Data Name="StartBuffers"> 1</Data>
<Data Name="PointerSize"> 8</Data>
<Data Name="EventsLost"> 0</Data>
<Data Name="CPUSpeed"> 2394</Data>
<Data Name="LoggerName">0x0</Data>
<Data Name="LogFileName">0x0</Data>
<Data Name="BootTime">130891281581255994</Data>
<Data Name="PerfFreq">2338369</Data>
<Data Name="StartTime">130891381027531658</Data>
<Data Name="ReservedFlags">0x1</Data>
<Data Name="BuffersLost"> 0</Data>
<Data Name="SessionNameString">Relogger</Data>
<Data Name="LogFileNameString">C:\kernel.etl</Data>
</EventData>
<RenderingInfo Culture="zh-CN">
<Opcode>Header</Opcode>
<Provider>MSNT_SystemTrace</Provider>
<EventName xmlns="http://schemas.microsoft.com/win/2004/08/events/trace">EventTrace</EventName>
</RenderingInfo>
<ExtendedTracingInfo xmlns="http://schemas.microsoft.com/win/2004/08/events/trace">
<EventGuid>{68fdd900-4a3e-11d1-84f4-0000f80464e3}</EventGuid>
</ExtendedTracingInfo>
</Event>
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。