![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(179.20000000000002, 44%, 27%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EYL%3C/text%3E%3C/svg%3E)
1,071 个问题
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(128, 8%, 22%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
尊敬的客户,您好!
感谢您在Q&A论坛发帖。
要调查在数据收集过程中丢失 26% 的事件的原因,您需要考虑几个潜在因素。下面是您可以采取的一些步骤,重点关注 Windows 事件跟踪 (ETW) 设置和其他常见问题:
1.检查 ETW 缓冲区大小和缓冲区设置:
- 缓冲区大小:确保缓冲区大小足够大,以处理正在跟踪的事件量。如果缓冲区大小太小,则可能会丢失事件。
- 最大缓冲区数:增加可用缓冲区数。如果没有足够的缓冲区,则事件可能会丢失,因为现有缓冲区已满。
2.系统资源:
- CPU 使用率:高 CPU 使用率会影响系统记录事件的能力。在数据收集过程中,监控 CPU 使用率并检查系统是否负载过重。
- 内存使用情况:确保有足够的可用内存。如果系统内存不足,则可能无法分配足够的缓冲区空间。
3.磁盘 I/O:
- 磁盘写入速度:如果磁盘写入速度太慢,可能会导致等待写入磁盘的事件积压。考虑使用速度更快的存储解决方案,例如 SSD。
- 磁盘空间:确保有足够的可用磁盘空间来存储事件日志。
4.事件生成率:
- 高事件率:如果事件生成的速率非常高,则无论缓冲区设置如何,都可能超过跟踪基础设施的容量。您可能需要减少正在收集的事件的详细程度。
5.ETW 会话配置:
- 实时与文件日志记录:如果使用实时日志记录,请考虑切换到基于文件的日志记录,这可能会更好地处理高事件量。
- 时钟分辨率:如有必要,请调整时钟分辨率以获得更高的精度,但请注意,更精细的分辨率可能会增加开销。
6.软件和驱动程序问题:
- ETW 提供程序:确保 ETW 提供程序(事件源)正常运行,并且不会生成虚假或冗余事件。
- 驱动程序更新:检查并应用系统驱动程序的任何更新,因为较新的驱动程序可能会优化事件处理。
7.分析日志:
- 检查错误/警告:查看事件日志中是否有任何错误或警告,这些错误或警告可能会为出了什么问题提供线索。
- 检测:使用诊断工具检测 ETW 会话并确定瓶颈发生的位置。
若要更改 ETW 设置,可以在 Windows 中使用“logman”等工具。
示例命令:
- 更改缓冲区大小:
logman update trace MyTraceSession -bs 1024
- 增加最大缓冲区数: logman update trace MyTraceSession -nb 64 128
通过仔细分析这些方面并进行适当的调整,您应该能够减少或消除数据收集过程中的事件丢失。
我希望上面的信息对您有所帮助。
如果您有任何问题或疑虑,请随时告诉我们。
Best Regards,
Daisy Zhou
============================================
如果答案有帮助,请点击“接受答案”并投赞成票。