Event Tracing for Windows (ETW) oferă un mecanism pentru logarea și accesarea evenimentelor generate de sistemul de operare Microsoft Windows sau diverse aplicații. Evenimentele sunt disponibile în mod real-time sau arhivate in fișiere .ETL, generate în baza unui manifest care este necesar pentru interpretarea acestora pe o altă mașină decât cea de pe care au fost colectate. În cazul sistemelor de producție, este posibil ca log-urile sa nu poată fi prelucrate și analizate direct pe mașina de pe care au fost colectate pentru a nu risca epuizazea resurselor și generarea de impact asupra serviciilor. Scopul final este conversia fisierelor ETL in CSV, în vederea analizei acestora.
În cazul în care manifestul nu este deja disponibil, el poate fi extras rulând comanda de mai jos pe mașina de pe care au fost extrase log-urile. Trebuie ținut cont de faptul ca deși rularea acestei comenzi nu consumă resurse în mod excesiv, timpul de execuție crește direct proporțional cu mărimea fișierului ETL. O recomandare ar fi să rulați această comandă pe cel mai mic fișier ETL pe care îl aveți la dispoziție.
PS C:\>tracerpt -l .\logfile.etl -export .\manifest.man
Input
----------------
File(s):
.\logfile.etl
100.00%
Output
----------------
Export: manifest.man
The command completed successfully.
Conversia în format CSV se poate efectua pe mașina destinație, după ce manifestul a fost copiat în folderul în care se află și fișierul .ETL, utilizând comanda de mai jos:
PS C:\>tracerpt .\logfile.etl -o logfile.csv -of csv -import .\manifest.man
Input
----------------
File(s):
.\logfile.etl
File(s):
.\manifest.man
100.00%
Output
----------------
DumpFile: logfile.csv
The command completed successfully.
