这个是系统文件,直接打开看不了。
尝试用记事本等软件打开,全是乱码。tracerpt命令
1.打开CMD 命令, CD 到C:\ Windows\system32.
2.有个工具叫tracerpt.exe。 3.输入tracerpt.exe -?
Examples:
tracerpt logfile1.etl logfile2.etl -o logdump.xml -of XMLtracerpt logfile.etl -o logdmp.xml -of XML -lr -summary logdmp.txt -report logrpt.xmltracerpt logfile1.etl logfile2.etl -o -reporttracerpt logfile.etl counterfile.blg -report logrpt.xml -df schema.xmltracerpt -rt "NT Kernel Logger" -o logfile.csv -of CSVtracerpt.exe abcd.etl -o abcd.xml -of XML.4.这条命令的意思就是将abcd.etl 转换成abcd.xml格式, 此时便可以看到在当前目录下有一个叫abcd.xml的文件, 就可以看到里面的内容了。WMI 数据服务
WMI是一项核心的Windows管理技术,WMI作为一种规范和基础结构,通过它可以访问、配置、管理和监视几乎所有的Windows资源,比如用户可以在远程计算机器上启动一个进程;设定一个在特定日期和时间运行的进程;远程启动计算机;获得本地或远程计算机的已安装程序列表;查询本地或远程计算机的Windows事件日志等等。
系统没有WMI服务,或网路适配器共享时提示WMI错误等均可使用。使用方法:复制并保存为wmi.bat@echo oncd /d c:/tempif not exist %windir%/system32/wbem goto TryInstallcd /d %windir%/system32/wbemnet stop winmgmtwinmgmt /killif exist Rep_bak rd Rep_bak /s /qrename Repository Rep_bakfor %%i in (*.dll) do RegSvr32 -s %%ifor %%i in (*.exe) do call :FixSrv %%ifor %%i in (*.mof,*.mfl) do Mofcomp %%inet start winmgmtgoto End:FixSrvif /I (%1) == (wbemcntl.exe) goto SkipSrvif /I (%1) == (wbemtest.exe) goto SkipSrvif /I (%1) == (mofcomp.exe) goto SkipSrv%1 /RegServer:SkipSrvgoto End:TryInstallif not exist wmicore.exe goto Endwmicore /snet start winmgmt:End
生成的xml文件巨大无比有好几兆,非常容易卡死。
0 2 0 0 0 0x0 65536 83951878 7601 4 130891381795465582 156001 0 0x10001 24 1 8 0 2394 0x0 0x0 130891281581255994 2338369 130891381027531658 0x1 0 Relogger C:\kernel.etl Header MSNT_SystemTrace EventTrace {68fdd900-4a3e-11d1-84f4-0000f80464e3}