Ответ 1
Чтобы написать Поставщик для ETW, у вас есть два варианта написания его как поставщика на основе манифеста ( предпочтительнее для Vista или выше) или классический поставщик для поддержки старых версий. Если на основе манифеста находится подход, с которым вы хотите пойти, тогда посмотрите пример здесь. Кроме того, здесь вы найдете классический пример поставщика.
Я предполагаю, что вы хотите использовать подход, основанный на манифестах, как лучший и можете поддерживать до 8 сеансов. Первый шаг для провайдера, основанного на манифестах, - это зарегистрировать событие, используя EventRegister, а затем записать в это через EventWrite или EventWriteString.