1. 下载安装Message Analyzer

从Message Analyzer下载链接下载，安装过程从略。
说明：关于Message Analyzer的视频教程，可以在打开后的主界面上看到。

2. 连接远端进行实时查看

1. 启动，点击New Session，在弹出的New Session界面中点击Live Trace
   

2. 在打开的Live Trace设置界面中，点击Edit按钮打开Edit Target Computers设置界面，如下图
   
   输入好远程机器名和用户名密码后点击OK。
   注：如果保存过远程计算机的凭据的话，用户名密码可以为空。

3. 添加ETW Providers
   可以通过Select Scenario或者Add Providers来添加ETW Provider, 可以通过下面的过滤选项进一步过滤。
   注：Select Scenario预定义了一些默认的Provider，方便采集对应的事件，不用手动挨个添加了。也可以自定义Scenario
   
   配置好之后，可以点击Start开始捕获事件了。

Trouble Shooting

1. 如果出现如下错误提示请确认几点

• 远端机器必须是win8及以上系统才支持remote capture。
• 远端机器是否开启了允许通过WinRM进行远程服务管理
• 远端机器防火墙是否阻止了5985 5986两个端口
  注：测试的时候，为了方便可以关闭防火墙
• 确保输入的用户名密码是正确的，或者存在有效的凭据。

• 添加远端Host到信任列表里
  只需要按照图中的提示进行操作即可！以管理员权限启动Powershell依次运行如下两条命令

  1. WinRM quickconfig -quiet
  2. WinRM--%set winrm/config/client @{TrustedHosts="bcnvm-pc"}
  4. # 注：可以运行WinRM --% get winrm/config/client 来查看已经信任过的host

  • 如果运行WinRM –% set winrm/config/client @{TrustedHosts="bcnvm-pc"} 提示如下错误，需要改变网络类型为域或专用。
    
    可以进行如下设置 所有设置->网络和Internet->以太网 点击对应的网络，在弹出的界面中开启 将这台电脑设为可以被检测到
    

    具体参考http://www.xitongcheng.com/jiaocheng/win10_article_9694.html

  • 如果运行 WinRM –% set winrm/config/client @{TrustedHosts="bcnvm-pc"} 提示如下错误，需要手动设置对应的组策略为未配置再运行该命令即可。
    

    打开本地组策略编辑器 改变计算机配置->管理模板->Windows组件->Windows远程管理(WinRM)->客户端->受信任的主机的状态为未配置，如下图
    

2. 如果还是连不上，请确保远端允许通过WinRM进行远程服务管理

因为Windows Message Analyzer基于Windows Remote Management，所以要确保远端开启Windows Remote Management（WinRM）服务。
注：可以按如下步骤进行配置，配置好后，需要重启生效！！！
运行gpedit.msc命令打开本地组策略编辑器，
开启 计算机配置->管理模板->Windows组件->Windows远程管理(WinRM)->WinRM服务->允许通过WinRM进行远程服务器管理
如下图

注：如果不开启，得到的错误提示很具有误导性

3. 如果收不到期待的日志信息，请到远端机器上查看是否有对应的ETW provider

Message Analyzer默认会从本机列出所有可用的ETW Provider，远端机器上不一定有！