Windows-Ereignisse

Ereignisse werden in der Regel zur Problembehandlung von Anwendungs- und Treibersoftware verwendet.

Mit dem neuen TraceLogging-Modell können Sie strukturierte Daten in Ereignisse einschließen, Ereignisse korrelieren und keine separate XML-Datei für das Instrumentierungsmanifest benötigen.

Das Windows Vista-Modell verwendet ein XML-Manifest, um die Ereignisse zu definieren, die Sie veröffentlichen möchten. Ereignisse können in einem Kanal oder einer ETW-Sitzung veröffentlicht werden. Sie können die Ereignisse in den folgenden Arten von Kanälen veröffentlichen: Administrator, Betriebsbereit, Analyse und Debug. Wenn Sie nur ETW zum Aktivieren des Herausgebers verwenden, müssen Sie keine Kanäle in Ihrem Manifest angeben. Ausführliche Informationen zum Schreiben eines Manifests finden Sie unter Schreiben eines Instrumentierungsmanifests und informationen zu Kanälen unter Definieren von Kanälen.

Zum Registrieren Ihres Ereignisherausgebers und zum Veröffentlichen von Ereignissen verwenden Sie die ETW-API. Ausführliche Informationen finden Sie unter Bereitstellen von Ereignissen und Entwickeln eines Anbieters. Der Ereignisherausgeber schreibt die Ereignisse automatisch in die Kanäle, die im Manifest angegeben sind, wenn sie aktiviert sind.

Wenn Sie die Ereignisse steuern möchten, die ein Ereignisherausgeber auf einer feineren Granularitätsebene veröffentlicht, verwenden Sie die ETW-API. Wenn das Manifest beispielsweise Schreib- und Leseereignisse definiert, können Sie nur die Schreibereignisse aktivieren. Ein Ereignis kann auch einen Levelwert wie Warnung oder Fehler angeben, sodass Sie die Ereignisse einschränken können, die in diejenigen geschrieben werden, die die Fehlerstufe angeben. Ausführliche Informationen finden Sie unter Steuern von Ereignisablaufverfolgungssitzungen. Die Ereignisse werden in die Protokolldatei der Sitzung geschrieben.

Die Verwendung von Ereignissen umfasst das Abrufen der Ereignisse aus einem Ereigniskanal, eine Ereignisprotokolldatei (EVTX- oder EVT-Dateien), eine Ablaufverfolgungsdatei (ETL-Dateien) oder eine ECHTZEIT-ETW-Sitzung. Um Ereignisse aus einer ETW-Ablaufverfolgungsdatei oder einer ETW-Sitzung in Echtzeit zu nutzen, verwenden Sie die TDH-Funktionen (Trace Data Helper) in ETW, um die Ereignisse zu nutzen. Sie können auch TDH verwenden, um die Ereignismetadaten zu lesen. Ausführliche Informationen finden Sie unter "Verwenden von Ereignissen". Um Ereignisse aus einem Ereigniskanal oder einer Ereignisprotokolldatei zu nutzen, verwenden Sie die Windows Ereignisprotokollfunktionen, um Ereignisse abzufragen oder zu abonnieren. Weitere Informationen finden Sie unter Abfragen nach Ereignissen oder Abonnieren von Ereignissen.

Vor Windows Vista müssen Sie die Ereignisablaufverfolgung für Windows oder Ereignisprotokollierung verwenden, um Ereignisse zu veröffentlichen und zu nutzen.