事件跟踪
目的
Windows (ETW) 事件跟踪为应用程序程序员提供启动和停止事件跟踪会话、检测应用程序以提供跟踪事件和使用跟踪事件的能力。 跟踪事件包含描述应用程序或操作的当前状态的事件标头和提供程序定义的数据。 可以使用事件来调试应用程序并执行容量和性能分析。
本文档适用于想要使用 ETW 的用户模式应用程序。 有关检测在内核模式下运行的设备驱动程序的信息,请参阅 Windows 驱动程序工具包中的 WPP 软件跟踪 和 向Kernel-Mode驱动程序添加事件跟踪 (WDK) 。
如果适用
如果要检测应用程序、将用户或内核事件记录到日志文件,以及使用日志文件中的事件或实时事件,请使用 ETW。
开发人员受众
ETW 专为编写用户模式应用程序的 C 和 C++ 开发人员而设计。
运行时要求
ETW 包含在 Microsoft Windows 2000 及更高版本中。 有关使用特定函数需要哪些操作系统的信息,请参阅该函数的文档的“要求”部分。
在 .NET 代码中处理 ETW 跟踪
可以使用 .NET TraceProcessing API 来分析应用程序和其他软件组件的 ETW 跟踪。 此 API 在 Microsoft 内部用于分析生成 Windows 工程系统的 ETW 数据,还用于为 Windows 性能分析器中的多个表提供支持。 此 API 以 NuGet 包的形式提供。
有关详细信息,请参阅此文章。
在本节中
| 主题 | 说明 |
|---|---|
| 事件跟踪中的新增功能 |
在每个版本中添加到事件跟踪的新功能。 |
| 关于事件跟踪 |
有关事件跟踪的常规信息。 |
| 使用事件跟踪 |
描述如何使用 ETW API 的任务相关主题。 |
| 事件跟踪参考 |
ETW 函数和其他编程元素的详细说明。 |
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈