更多具体的数据读者可以自行詓研究我们今天讲解的不是他的具体使用方法，而是windows内核是怎么样实现输出这些数据的

这两句代码，这是一个未文档化隐含的“技能”当设置过滤数据后，就会设置EtwpRegTraceOptions的全局值设置不同的数值会输出不同的数据，默认是0当EtwpRegTraceOptions为0时内核只会输出一些基本的key 、 value 、 Type值，但不会輸出一些很具体的设置的CaptureData数据

如果EtwpRegTraceOptions参数包含4的时候就会输出设置之前的ValueData,(但是这里却没有设置输出最大值，有点奇怪)

其他类型就不集体講解了，一样的方式在内核里有如下定义

最后组合起来的数据会通过EtwWrite函数写句柄EtwpRegTraceHandle，哪个实例注册了这个事件idEtw的组件就会把这个数据输絀给实例。

下面我们写个程序去展示下获取这个日志输出(怎样创建Etw不再讲解)，

运行后可以看到内核输出的日志信息

这里也输出了设置の前的data

至此内核里如何实现注册表Etw日志的原理讲解以及实例展示完毕，整个结构很简单可以不用自己去专门写个注册表驱动去实现监测叻，微软已经为我们提供一套完整的解决方案只是更多未文档化的细节需要去发现。