C++ ETW系统调用跟踪_C++_Winapi_Etw

C++ ETW系统调用跟踪

c++ winapi

C++ ETW系统调用跟踪,c++,winapi,etw,C++,Winapi,Etw,如何获得在ETW中生成系统调用的进程id？只要事件头的ProcessID和ThreadID成员为=到-1，就不能使用它。我听说过激活CSWitch标志来捕获每个上下文切换，但这只会根据类给出NewThreadId和oldthrreadid。我也需要进程id 谢谢您希望跟踪哪些呼叫？基本上是所有系统呼叫，但我想知道来自用户空间的哪个进程进行了呼叫。我仍然不知道您的意思。您已经看到了内核调用。您不能跟踪每个线程属于哪个进程吗？@arx是的，我发现有一个API调用可以做到这一点，GetProcessI

如何获得在ETW中生成系统调用的进程id？只要事件头的ProcessID和ThreadID成员为=到-1，就不能使用它。我听说过激活CSWitch标志来捕获每个上下文切换，但这只会根据类给出NewThreadId和oldthrreadid。我也需要进程id

谢谢

您希望跟踪哪些呼叫？基本上是所有系统呼叫，但我想知道来自用户空间的哪个进程进行了呼叫。我仍然不知道您的意思。您已经看到了内核调用。您不能跟踪每个线程属于哪个进程吗？@arx是的，我发现有一个API调用可以做到这一点，GetProcessIdOfThread。