用于从本地 Service Fabric 探索和查询 ETW 日志的工具

Posted 2023-03-27

【中文标题】用于从本地 Service Fabric 探索和查询 ETW 日志的工具

【英文标题】：Tool for explore and query ETW logs from Service Fabric on premise

【发布时间】：2019-03-03 13:02:12

【问题描述】：

我正在寻找一种工具，它可以让我在以 etl 格式编写的服务结构的日志中进行探索和查询/搜索。我尝试使用 MessageAnalyzer 但它加载了很长时间并挂起，第二个工具 windows 日志资源管理器但在转换为 evtx 日志后如下所示，对我来说没用：

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-ServiceFabric" Guid="cbd93bc2-71e5-4566-b3a7-595d8eeca6e8" /> 
  <EventID>65534</EventID> 
  <Version>1</Version> 
  <Level>0</Level> 
  <Task>65534</Task> 
  <Opcode>254</Opcode> 
  <Keywords>0xffffffffffffff</Keywords> 
  <TimeCreated SystemTime="2018-08-17T14:11:30.484723000Z" /> 
  <EventRecordID>11534</EventRecordID> 
  <Correlation /> 
  <Execution ProcessID="14332" ThreadID="5124" ProcessorID="3" KernelTime="9" UserTime="63" /> 
  <Channel /> 
  <Computer>Machine Name</Computer> 
  <Security /> 
  </System>
- <ProcessingErrorData>
  <ErrorCode>15003</ErrorCode> 
  <DataItemName /> 
  <EventPayload>0101005B69002C006F6E3D223022206C657..74656D706C6174653D22537461727441735072696D61727941726773222F3E0D0A20203C6576656E742076</EventPayload> 
  </ProcessingErrorData>
  </Event>

我看到在 Azure 上（https://channel9.msdn.com/Events/dotnetConf/2018/S2080 35 分钟）有使用 Application Insights 查询结果的选项。是否有任何工具可以让我在本地执行此操作？

【参考方案1】：

我通常使用PerfView 进行大多数 ETW 日志分析。它对原始文件提供了非常好的过滤能力，无需将日志转换为任何其他格式，也非常轻量级，可以处理巨大的日志文件。

在 OMS 或 Application Insights 上使用 Log Analytics 等工具的好处在于，它提供了警报、聚合等高级功能，以及对这些相同事件的类似 SQL 的查询。此外，在设置之后，您不必处理大型日志文件（通常在托管在 Blob 存储中）来查找应用程序的日志。

对于开发，PerfView 可以胜任，对于生产分析，我建议您使用 OMS 或 AppInsights。

LogAnalitics 的唯一缺点是事件不会实时显示，需要几分钟才能在门户中看到，但仍然比在 PerfView 或其他工具上查找和复制文件进行分析要快.

【讨论】：

我将看看 PerfView - 在日志分析和应用程序洞察的主题中，请记住我有 SF 内部部署（不在 Azure 中）。我还能以某种方式在我们的本地集群上使用这些工具吗？

可以，就像在 azure 上一样。只需使用 AppInsights 设置配置集群“WadCfg”，如下所述：docs.microsoft.com/en-us/azure/service-fabric/…