C# - ETW 관련 Win32 API 사용 예제 코드 (3) ETW Consumer 구현
C# - ETW 관련 Win32 API 사용 예제 코드 (1)
; https://www.sysnet.pe.kr/2/0/12292
C# - ETW 관련 Win32 API 사용 예제 코드 (2) NT Kernel Logger
; https://www.sysnet.pe.kr/2/0/12296
System Logger 유형의 ETW 이벤트를 구독하는 방법에 이어, 이번 글에는 일반적인 ETW 이벤트를 처리하는 방법에 대해 살펴보겠습니다. 이에 대해서는 C++ 코드로 문서에 이미 잘 공개되어 있는데,
Example that Creates a Session and Enables a Manifest-based or Classic Provider
; https://learn.microsoft.com/en-us/windows/win32/etw/example-that-creates-a-session-and-enables-a-manifest-based-provider
C#으로는 대충 다음과 같은 식으로 구현할 수 있습니다.
string sessionName = "mySession";
Guid auditApiCalls = EtwInterop.RegisteredProviders["Microsoft-Windows-Kernel-Audit-API-Calls"];
// 세션을 열고,
EventTraceProperties prop = new EventTraceProperties(true, sessionName);
result = NativeMethods.StartTrace(out sessionHandle, sessionName, ref prop);
Console.WriteLine(result);
if (result == 0)
{
// 열린 세션에서 활성화할 ETW Provider를 지정 및 Enable 시키고,
ENABLE_TRACE_PARAMETERS enableParameters = new ENABLE_TRACE_PARAMETERS();
enableParameters.Version = 1;
enableParameters.EnableProperty = (uint)EventEnableProperty.Sid;
result = NativeMethods.EnableTraceEx2(sessionHandle, ref auditApiCalls,
NativeMethods.EVENT_CONTROL_CODE_ENABLE_PROVIDER, (byte)TraceEventLevel.Informational,
0, 0, 0, ref enableParameters);
Console.WriteLine(result);
}
if (result == 0)
{
// 이벤트 처리 방법과 함께 OpenTrace 호출
EventTraceLogfile logFile = new EventTraceLogfile();
logFile.LoggerName = sessionName;
logFile.EventRecordCallback = EventRecordCallback;
logFile.ProcessTraceMode = NativeMethods.PROCESS_TRACE_MODE_EVENT_RECORD | NativeMethods.PROCESS_TRACE_MODE_REAL_TIME
| NativeMethods.PROCESS_TRACE_MODE_RAW_TIMESTAMP;
traceHandle = NativeMethods.OpenTrace(ref logFile);
}
if (traceHandle != 0)
{
new Thread((ThreadStart)(
() =>
{
EtwInterop.ProcessTrace(traceHandle);
})).Start();
Console.WriteLine("Press ENTER key to exit...");
Console.ReadLine();
}
지난 글에 설명한 System Logger 유형에서는, StartTrace 시점에 전달한 EventTraceProperties 구조체에 ETW Provider까지 지정했었던 반면 이번에는 그런 동작이 StartTrace로부터 분리돼 EnableTraceEx2에서 수행되는 차이가 있습니다.
지난 글에서 EventTraceWatcher 타입을 설명하며 이미 언급했지만, 위와 같이 세션을 시작하고 그냥 종료하면 "logman query -ets" 명령어를 통해 ETW 세션이 살아 있는 것을 확인할 수 있습니다. 그래서, 위의 프로그램을 다시 실행해 보면 StartTrace의 result 반환 값이 0xb7(ERROR_ALREADY_EXISTS: 0n183)로 나오면서 실패하게 됩니다.
사실 이건 의도된 동작입니다. "
ETW(Event Tracing for Windows)를 C#에서 사용하는 방법"에서 설명한 xperf나 logman 도구들이 명령행을 통해 세션을 시작/종료하는 동작으로 보면 StartTrace로 열어둔 세션이 프로세스가 종료했다고 해서 없어지면 그런 식으로 사용할 수 없기 때문입니다. 그래서 보통 지난 번에서와 같이 CloseTrace/ControlTrace의 조합으로 세션을 종료하게 되는데요.
try
{
// ...[생략]...
if (traceHandle != 0)
{
Thread t = new Thread((ThreadStart)(
() =>
{
Console.WriteLine("PrcoessTrace: " + EtwInterop.ProcessTrace(traceHandle));
}));
t.Start();
Console.WriteLine("Press ENTER key to exit...");
Console.ReadLine();
Console.WriteLine("Closed: " + (NativeMethods.CloseTrace(traceHandle) == 0));
t.Join();
}
}
finally
{
// https://www.sysnet.pe.kr/2/0/12292#control_trace
EtwInterop.CloseActiveSession(sessionName);
}
위와 같이 CloseTrace를 호출하면 별도의 스레드에서 실행하던 ProcessTrace 함수는 CloseTrace 함수가 호출하는 순간까지의 큐에 쌓여 있던 이벤트까지 모두 처리를 완료하고 실행을 반환합니다. 그리고 이후 (EtwInterop.CloseActiveSession 호출 내부에 있는) StopTrace 함수를 호출하는 것으로 세션이 완료되고.
그런데 "
Example that Creates a Session and Enables a Manifest-based or Classic Provider" 글의 예제에서는 CloseTrace 호출은 없고 EnableTraceEx2로 EVENT_CONTROL_CODE_DISABLE_PROVIDER 옵션 처리를 하고 있습니다. 실제로 해당 예제로 ProcessTrace까지 돌려 보면 EnableTraceEx2의 호출로 ProcessTrace가 제어를 반환하지는 않습니다.
(어차피 세션을 종료하므로) 굳이 반환하지 않아도 괜찮은 것인지... 아니면 저 예제에서는 ProcessTrace를 호출하지 않아 CloseTrace에 대한 호출을 빼먹인 것인지 알 수 없는데... 휴... "
THE WORST API EVER MADE" 글이 괜히 쓰여진 것이 아닐 것입니다. ^^;
세션을 닫지 않고 종료한 경우, 살아 있는 그 세션과 동일한 이름으로 StartTrace를 하면 ERROR_ALREADY_EXISTS가 반환된다고 했습니다. 따라서 그런 경우에는 세션을 굳이 생성하지 않고 곧바로 OpenTrace를 호출할 수 있습니다.
이것을 종합해 최종적으로 다음과 같이 코드를 구성할 수 있습니다.
string sessionName = "mySession";
Guid auditApiCalls = EtwInterop.RegisteredProviders["Microsoft-Windows-Kernel-Audit-API-Calls"];
int result = 0;
ulong traceHandle = 0;
ulong sessionHandle = 0;
try
{
if (EtwInterop.IsSessionActive(sessionName, out var _) == true)
{
// 해당 이름의 세션이 살아 있으면 그냥 OpenTrace 단계로.
}
else
{
// 해당 이름의 세션이 없으면 새롭게 생성
EventTraceProperties prop = new EventTraceProperties(true, sessionName);
result = NativeMethods.StartTrace(out sessionHandle, sessionName, ref prop);
Console.WriteLine(result);
if (result == 0)
{
ENABLE_TRACE_PARAMETERS enableParameters = new ENABLE_TRACE_PARAMETERS();
enableParameters.Version = 1;
enableParameters.EnableProperty = (uint)EventEnableProperty.Sid;
result = NativeMethods.EnableTraceEx2(sessionHandle, ref auditApiCalls,
NativeMethods.EVENT_CONTROL_CODE_ENABLE_PROVIDER, (byte)TraceEventLevel.Informational,
0, 0, 0, ref enableParameters);
Console.WriteLine(result);
}
}
if (result == 0)
{
EventTraceLogfile logFile = new EventTraceLogfile();
logFile.LoggerName = sessionName;
logFile.EventRecordCallback = EventRecordCallback;
logFile.ProcessTraceMode = NativeMethods.PROCESS_TRACE_MODE_EVENT_RECORD | NativeMethods.PROCESS_TRACE_MODE_REAL_TIME
| NativeMethods.PROCESS_TRACE_MODE_RAW_TIMESTAMP;
traceHandle = NativeMethods.OpenTrace(ref logFile);
}
if (traceHandle != 0)
{
Thread t = new Thread((ThreadStart)(
() =>
{
Console.WriteLine("PrcoessTrace: " + EtwInterop.ProcessTrace(traceHandle));
}));
t.Start();
Console.WriteLine("Press ENTER key to exit...");
Console.ReadLine();
// Console.WriteLine("Disabled: " + EtwInterop.DisableProvider(sessionHandle, ref auditApiCalls));
Console.WriteLine("Closed: " + (NativeMethods.CloseTrace(traceHandle) == 0));
t.Join();
}
}
finally
{
EtwInterop.CloseActiveSession(sessionName);
}
(
첨부 파일은 이 글의 예제 코드를 포함합니다.)
여기서 잠시, 마이크로소프트가 공개한 ETW 관련 C# 래퍼들은 어떻게 동작하고 있을까요? 우선, 1) 오래 전에 공개되었던
EventTraceWatcher의 경우 기존에 동일한 이름의 세션이 있으면 OpenTrace 처리를 하는 반면, 2) 새롭게 나온
Microsoft.Diagnostics.Tracing.TraceEvent에서는 동일한 이름의 세션이 있으면 그냥 닫아 버리고 다시 여는 방식을 취하고 있습니다. (어느 게 정답일까요? ^^)
1) StartTrace의 반환 값으로 0xa1(0n161) 값이 나온다면?
//
// MessageId: ERROR_BAD_PATHNAME
//
// MessageText:
//
// The specified path is invalid.
//
#define ERROR_BAD_PATHNAME 161L
3번째 EVENT_TRACE_PROPERTIES 인자의 LogFileMode에, 예를 들어 EVENT_TRACE_REAL_TIME_MODE(0x00000100) 등의 값을 지정하지 않았을 수 있습니다.
2) StartTrace의 반환 값으로 0x57(0n87) 값이 나온다면?
//
// MessageId: ERROR_INVALID_PARAMETER
//
// MessageText:
//
// The parameter is incorrect.
//
#define ERROR_INVALID_PARAMETER 87L // dderror
SystemTraceControlGuid를 지정한 경우, SessionName을 KERNEL_LOGGER_NAME("NT Kernel Logger") 이외의 문자열로 지정했을 수 있습니다. SystemTraceControlGuid에 대해서는 반드시 세션 이름을 "NT Kernel Logger"로 지정해야 합니다.
3) StartTrace의 반환 값으로 0x5 값이 나온다면? SystemTraceControlGuid와 같은 ETW Provider들은 관리자 권한으로만 열 수 있습니다.
참고로, 이번 글에 소개한 ETW 예제는 예전에
Microsoft.Diagnostics.Tracing.TraceEvent를 이용해 구현한 것의 Win32 Interop 버전이라고 보면 됩니다.
C# - 특정 EXE 프로세스를 종료시킨 EXE를 찾아내는 방법
; https://www.sysnet.pe.kr/2/0/11172
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]