드라이버에 대한 이벤트 추적 정보
정의된 이벤트 추적
ETW(Windows용 이벤트 추적)는 사용자 모드 애플리케이션 및 커널 모드 드라이버에서 발생하는 이벤트를 추적하고 로깅하기 위한 효율적이고 효과적인 메커니즘입니다. ETW는 다음 세 가지 구성 요소로 구성됩니다.
| 용어 | Description |
|---|---|
공급자 |
이벤트 추적 계측을 발생시키는 애플리케이션 또는 구성 요소입니다. |
컨트롤러 |
이벤트 추적 세션을 시작, 중지 및 구성하는 애플리케이션. |
소비자 |
이벤트 추적 세션(실시간으로) 또는 파일에서 수신하는 애플리케이션입니다. |
The ETW Kernel-Mode API
ETW API(애플리케이션 프로그래밍 인터페이스)는 커널 모드 구성 요소 및 드라이버에 사용할 수 있는 함수 집합을 제공합니다. WMI 이벤트 추적 및 WPP 소프트웨어 추적 모두 ETW를 사용합니다. 드라이버 개발자는 이러한 함수를 사용하여 드라이버를 ETW 공급자로 등록할 수 있습니다. ETW 공급자는 이벤트를 발생시키고 Windows 이벤트 로그에 게시하거나 추적 파일에 기록되거나 실시간 소비자에게 전달되는 ETW 세션에 이벤트를 쓸 수 있습니다. 이벤트는 시스템 내에서 흥미로운 발생을 설명하는 엔터티이며 ETW 공급자에 의해 결정되는 특성 집합에 의해 정의됩니다.
ETW는 Windows 운영 체제에서 구현되며 개발자에게 성능에 거의 영향을 주지 않고 빠르고 안정적이며 다양한 이벤트 추적 기능 집합을 제공합니다. 컴퓨터를 다시 부팅하거나 애플리케이션 또는 드라이버를 다시 로드하지 않고도 추적을 동적으로 사용하거나 사용하지 않도록 설정할 수 있습니다. 개발 중에 코드에 추가하는 디버깅 문과 달리 프로덕션 코드에서 ETW를 사용할 수 있습니다.
이벤트 추적을 사용해야 하는 경우
개발 중에 필요할 수 있는 자세한 추적 외에도 관리, 운영 및 분석 이벤트에 관심이 있는 애플리케이션에서 사용할 수 있는 이벤트를 게시하려면 ETW 커널 모드 API를 사용합니다. 개발 및 디버깅을 위해 주로 추적 데이터를 수집하는 데 관심이 있는 경우 WPP 소프트웨어 추적을 사용합니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기