Сведения о трассировке событий для драйверов
Определена трассировка событий
Трассировка событий Windows (ETW) — это эффективный и эффективный механизм для трассировки и ведения журнала событий, создаваемых приложениями пользовательского режима и драйверами режима ядра. Трассировка событий Windows состоит из трех компонентов:
| Термин | Описание |
|---|---|
Поставщики |
Приложения или компоненты, которые вызывают инструментирование трассировки событий. |
Контроллеры |
Приложения, которые запускают, останавливают и настраивают сеансы трассировки событий. |
Потребители |
Приложения, которые получают сеансы трассировки событий (в режиме реального времени) или из файла. |
API Kernel-Mode трассировки событий Windows
Программный интерфейс (API) трассировки событий Windows предоставляет набор функций, доступных для компонентов и драйверов в режиме ядра. Трассировка событий WMI и трассировка программного обеспечения WPP используют трассировку событий Windows. Разработчики драйверов могут использовать эти функции для регистрации драйвера в качестве поставщика трассировки событий Windows. Поставщики трассировки событий Windows могут создавать события и публиковать их в журнале событий Windows или записывать события в сеанс трассировки событий Windows, который записывается в файл трассировки или доставляется потребителю в режиме реального времени. События — это сущности, описывающие интересные события в системе и определяемые набором атрибутов, определяемых поставщиками трассировки событий Windows.
Трассировка событий Windows реализована в операционной системе Windows и предоставляет разработчикам быстрый, надежный и универсальный набор функций трассировки событий с очень небольшим влиянием на производительность. Вы можете динамически включать или отключать трассировку без перезагрузки компьютера или перезагрузки приложения или драйвера. В отличие от операторов отладки, добавляемых в код во время разработки, в рабочем коде можно использовать etw.
Когда следует использовать трассировку событий
Используйте API режима ядра трассировки событий Windows, чтобы публиковать события, которые могут использоваться приложениями, заинтересованными в событиях администрирования, эксплуатации и аналитики, в дополнение к подробной трассировке, которая может потребоваться во время разработки. Используйте трассировку программного обеспечения WPP, если вы заинтересованы в основном в сборе данных трассировки для целей разработки и отладки.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по