Windows 事件跟踪
Windows 事件跟踪 (ETW) 基础结构是 Windows 性能工具包的基础。 这些工具提供一组程序,这些程序隐藏了直接使用 ETW 应用程序编程接口 (API) 的复杂性。
本文提供对 ETW 的高级介绍。 有关 ETW 的详细信息,请参阅事件跟踪。
ETW 支持对内核和应用程序事件进行一致、直接的捕获。 可以随时启用或禁用事件捕获,而无需重新启动系统或进程。 Windows 性能分析器 (WPA) 呈现 ETW 在一组易于理解的图形和表中收集的信息。
可以捕获并呈现所选事件以非侵入性的方式标识并诊断系统和应用程序性能问题。 可以动态启用或禁用事件跟踪。 Windows Performance Recorder (WPR) 使用 ETW 收集和组织关键系统信息。 WPR 充当会话控制器,启动和停止会话,并选择要记录的 ETW 事件。
WPA 使用所有事件提供程序在 ETW 会话中生成的事件跟踪日志 (ETL) 文件。 内核和应用程序事件可以提供有关系统操作的大量详细信息。 几乎每个影响整体系统性能的内核事件都已定义,并且可用于 WPA。