Я пытаюсь настроить средство просмотра Message Analyzer точно так, как описано в этой ссылке, но вместо постоянных имен процессов я получил странные числа как в столбцах ProcessName, так и в столбцах ProcessID.
Я использую стандартный сценарий беспроводной сети
и следующие поставщики трассировки событий Windows
Захват прошел netsh trace start scenario=wlan capture=yes
был такой же взгляд
Как получить здесь имена процессов?
Похоже, сообщения Windows_Kernel_Trace должны указывать имена процессов. У меня была та же проблема, что и у вас, когда я применил фильтр сеанса перед началом сеанса, включая фильтр IP-адреса. Я изменил свой фильтр на:
!(*Port in [3389, 1494, 1503]) and (IPv4.Address == 10.0.0.123 or Windows_Kernel_Trace)
Имена процессов теперь отображаются для большинства сообщений.
Я отправляю его в качестве промежуточного ответа, пока не получу подробный комментарий от Microsoft по этой проблеме (что может никогда не произойти).
Методом проб и ошибок я понял, что проблема выше только когда я указываю фильтр сеанса предшествующий Жить начала следа. Я использую очень большую фильтрацию на основе IP, которая выглядит так:
*Port!=3389 and
((IPv4.Address in 2.16.106.48/28 ) or
(IPv4.Address in 2.16.106.64/27 ) or
(IPv4.Address in 2.16.106.96/28 ) or
(IPv4.Address in 2.16.106.112/29 ) or
(IPv4.Address in 2.16.106.120/31 ) or
(IPv4.Address in 2.16.106.122/32 ) or
(IPv4.Address == 2.19.177.129 ) or
...
many lines
Но если я применить фильтр сеанса после запуск сеанса, затем все идет нормально и имена процессов отображаются, как и ожидалось. Я не могу должным образом объяснить это явление, поскольку фильтрация не имеет ничего общего с именами процессов (которые предоставляются ядром) и, очевидно, не имеет никакого отношения и должен не имеют ничего общего с моментом применения фильтров: либо после, либо до начала сеанса.
Еще один облом от Microsoft ...