Acerca del seguimiento de eventos para controladores
Seguimiento de eventos definido
El seguimiento de eventos para Windows (ETW) es un mecanismo eficaz y eficaz para el seguimiento y el registro de eventos generados por aplicaciones en modo de usuario y controladores en modo kernel. ETW consta de tres componentes:
| Término | Descripción |
|---|---|
Proveedores |
Aplicaciones o componentes que generan instrumentación de seguimiento de eventos. |
Controladores |
Aplicaciones que inician, detienen y configuran sesiones de seguimiento de eventos. |
Consumidores |
Aplicaciones que reciben sesiones de seguimiento de eventos (en tiempo real) o desde un archivo. |
LA API de Kernel-Mode ETW
La interfaz de programación de aplicaciones (API) ETW proporciona un conjunto de funciones que están disponibles para los componentes y controladores en modo kernel. El seguimiento de eventos WMI y el seguimiento de software de WPP usan ETW. Los desarrolladores de controladores pueden usar estas funciones para registrar el controlador como proveedor de ETW. Los proveedores de ETW pueden generar eventos y publicarlos en el registro de eventos de Windows o pueden escribir sus eventos en una sesión ETW, que se escribe en un archivo de seguimiento o se entregan al consumidor en tiempo real. Los eventos son entidades que describen apariciones interesantes dentro del sistema y se definen mediante un conjunto de atributos determinados por los proveedores de ETW.
ETW se implementa en el sistema operativo Windows y proporciona a los desarrolladores un conjunto rápido, confiable y versátil de características de seguimiento de eventos con muy poco impacto en el rendimiento. Puede habilitar o deshabilitar dinámicamente el seguimiento sin reiniciar el equipo ni volver a cargar la aplicación o el controlador. A diferencia de las instrucciones de depuración que agregue al código durante el desarrollo, puede usar ETW en el código de producción.
Cuándo usar el seguimiento de eventos
Use la API en modo kernel de ETW si desea publicar eventos que pueden consumir las aplicaciones interesadas en eventos administrativos, operativos y analíticos, además del seguimiento detallado que puede requerir durante el desarrollo. Use el seguimiento de software de WPP si está interesado principalmente en recopilar datos de seguimiento para fines de desarrollo y depuración.