Назад | Перейти на главную страницу

Имена процессов в MS Message Analyzer

Я пытаюсь настроить средство просмотра Message Analyzer точно так, как описано в этой ссылке, но вместо постоянных имен процессов я получил странные числа как в столбцах ProcessName, так и в столбцах ProcessID.

Я использую стандартный сценарий беспроводной сети

и следующие поставщики трассировки событий Windows

Захват прошел netsh trace start scenario=wlan capture=yes был такой же взгляд

Как получить здесь имена процессов?

Похоже, сообщения Windows_Kernel_Trace должны указывать имена процессов. У меня была та же проблема, что и у вас, когда я применил фильтр сеанса перед началом сеанса, включая фильтр IP-адреса. Я изменил свой фильтр на:

!(*Port in [3389, 1494, 1503]) and (IPv4.Address == 10.0.0.123 or Windows_Kernel_Trace)

Имена процессов теперь отображаются для большинства сообщений.

Я отправляю его в качестве промежуточного ответа, пока не получу подробный комментарий от Microsoft по этой проблеме (что может никогда не произойти).

Методом проб и ошибок я понял, что проблема выше только когда я указываю фильтр сеанса предшествующий Жить начала следа. Я использую очень большую фильтрацию на основе IP, которая выглядит так:

*Port!=3389 and
((IPv4.Address in 2.16.106.48/28 ) or
(IPv4.Address in 2.16.106.64/27 ) or
(IPv4.Address in 2.16.106.96/28 ) or
(IPv4.Address in 2.16.106.112/29 ) or
(IPv4.Address in 2.16.106.120/31 ) or
(IPv4.Address in 2.16.106.122/32 ) or
(IPv4.Address ==  2.19.177.129 ) or
...
many lines

Но если я применить фильтр сеанса после запуск сеанса, затем все идет нормально и имена процессов отображаются, как и ожидалось. Я не могу должным образом объяснить это явление, поскольку фильтрация не имеет ничего общего с именами процессов (которые предоставляются ядром) и, очевидно, не имеет никакого отношения и должен не имеют ничего общего с моментом применения фильтров: либо после, либо до начала сеанса.

Еще один облом от Microsoft ...