ETW: отправка события через существующего поставщика

Думаю, я нашел решение.

Хотя я не знаю, как передать событие через существующий провайдер в реальном времени, Windows 8 предоставляет интерфейс, который позволяет изменять журналы трассировки ETL, поэтому можно изменить ProviderId события на другое значение. Речь идет об интерфейсе ITraceRelogger. Вам нужны эти руководства:

EXTERN_GUID(CLSID_TraceRelogger, 0x7b40792d, 0x05ff, 0x44c4, 0x90, 0x58, 0xf4, 0x40, 0xc7, 0x1f, 0x17, 0xd4);
DEFINE_GUID(IID_ITraceRelogger, 0xF754AD43, 0x3BCC, 0x4286, 0x80, 0x09,0x9C, 0x5D, 0xA2, 0x14, 0xE8, 0x4E); // {F754AD43-3BCC-4286-8009-9C5DA214E84E}
DEFINE_GUID(IID_ITraceEventCallback, 0x3ED25501, 0x593F, 0x43E9, 0x8F, 0x38,0x3A, 0xB4, 0x6F, 0x5A, 0x4A, 0x52); // {3ED25501-593F-43E9-8F38-3AB46F5A4A52}

и relogger.h файл из Windows 8 SDK (c:\Program Files (x86)\Windows Kits\8.0\Include\um\relogger.h). Исходный relogger.h кажется каким-то образом сломанным, потому что он ссылается на некоторые внешние символы, но, похоже, нет файла LIB, чтобы дополнить его. Я уверен, что вы сумеете решить эту проблему!

Чтобы использовать его, просто создайте экземпляр:

ITraceRelogger *relog = NULL;
hres = CoCreateInstance(CLSID_TraceRelogger, 0, CLSCTX_INPROC_SERVER, IID_ITraceRelogger2, (LPVOID *)& relog);

добавьте вам файлы input.etl и output.etl:

#include <windows.h>
#include <cguid.h>
#include <atlbase.h>
#include <comdef.h>
...
CComBSTR input = "input.etl";
CComBSTR output = "output.etl";
...
hres = relog->AddLogfileTraceStream(input, NULL, & trace);
...
hres = relog->SetOutputFilename(output);

Затем вам нужно зарегистрировать обратный вызов, который будет обрабатывать модификацию события. Пример реализации обратного вызова события помещен в конце этого ответа. Вот код того, как использовать его с текущим ITraceRelogger:

EventCallback *ec = new EventCallback();
hres = relog->RegisterCallback(ec);
...
hres = relog->ProcessTrace();

Предупреждение: ProcessTrace() вернет ошибку, если вы не зарегистрируете никаких обратных вызовов.

Вот пример рабочего обратного вызова:

class EventCallback: public ITraceEventCallback {
private:
    DWORD ref_count;
    DWORD64 evno;

public:
    EventCallback() {
        ref_count = 0;
        evno = 0;
    }

    STDMETHODIMP QueryInterface(const IID& iid, void **obj) {
        if(iid == IID_IUnknown) {
            *obj = dynamic_cast<IUnknown *>(this);
        } else if(iid == IID_ITraceEventCallback) {
            *obj = dynamic_cast<ITraceEventCallback *>(this);
        } else {
            *obj = NULL;
            return E_NOINTERFACE;
        }

        return S_OK;
    }

    STDMETHODIMP_ (ULONG) AddRef(void) {
        return InterlockedIncrement(& ref_count);
    }

    STDMETHODIMP_ (ULONG) Release() {
        ULONG ucount = InterlockedDecrement(& ref_count);
        if(ucount == 0) {
            delete this;
        }

        return ucount;
    }

    HRESULT STDMETHODCALLTYPE OnBeginProcessTrace(ITraceEvent *HeaderEvent, ITraceRelogger *Relogger)   {
        return S_OK;
    }

    HRESULT STDMETHODCALLTYPE OnEvent(ITraceEvent *Event, ITraceRelogger *Relogger) {
        // Your main method.
        evno++;
        Relogger->Inject(Event);
    }


    HRESULT STDMETHODCALLTYPE OnFinalizeProcessTrace(ITraceRelogger *Relogger) {
        return S_OK;
    }
};

Relogger->Inject скопирует текущий Event в выходной файл. Вы можете использовать MSDN для ITraceRelogger, чтобы проверить доступные методы, которые позволят вам изменить желаемые свойства события. Меня заинтересовал метод SetProviderId().

Кроме того, имейте в виду, что MSDN утверждает, что ITraceRelogger доступен в Windows 7. Это не то, с чем я столкнулся - я не могу создать экземпляр этого класса в Windows 7, поэтому MSDN может иметь неверную информацию по этому вопросу.