Estou tentando configurar o visualizador do Message Analyzer exatamente como é explicado nesta referência , mas em vez de nomes de processos estáveis eu tenho alguns números estranhos, tanto em colunas ProcessName e ProcessID.
Euusoocenáriosemfiopadrão
eseguindoprovedoresdeETW
Acapturaobtidapornetshtracestartscenario=wlancapture=yesteveamesmavisão
Como obter nomes de processos aqui?
Parece exigir que mensagens Windows_Kernel_Trace forneçam nomes de processos. Eu tive o mesmo problema que você fez onde eu apliquei um filtro de sessão antes do início da sessão, incluindo um filtro de endereço IP. Eu mudei meu filtro para:
!(*Port in [3389, 1494, 1503]) and (IPv4.Address == 10.0.0.123 or Windows_Kernel_Trace)
Os nomes dos processos agora aparecem para a maioria das mensagens.
Eu postei isso como uma resposta intermediária até obter comentários detalhados da Microsoft sobre esse problema (o que pode acontecer nunca).
Por tentativa e erro, descobri que o problema acima ocorre somente ao especificar o filtro de sessão anterior ao início do rastreio em tempo real. Eu uso muito grande filtragem baseada em IP que se parece com isso:
*Port!=3389 and
((IPv4.Address in 2.16.106.48/28 ) or
(IPv4.Address in 2.16.106.64/27 ) or
(IPv4.Address in 2.16.106.96/28 ) or
(IPv4.Address in 2.16.106.112/29 ) or
(IPv4.Address in 2.16.106.120/31 ) or
(IPv4.Address in 2.16.106.122/32 ) or
(IPv4.Address == 2.19.177.129 ) or
...
many lines
Mas se eu aplicar o filtro de sessão após a sessão começar, então tudo vai bem e os nomes dos processos são mostrados como esperado. Eu não posso explicar este fenômeno adequadamente, já que a filtragem não tem nada a ver com nomes de processos (que são fornecidos pelo kernel), e obviamente não tem nada para fazer e deve não ter nada a ver com o momento de aplicar filtros: antes ou depois do início da sessão.
Apenas mais um vadio da Microsoft ...