Поделиться через

Сведения о трассировке событий для драйверов

  • Статья

Определена трассировка событий

Трассировка событий Windows (ETW) — это эффективный и эффективный механизм для трассировки и ведения журнала событий, создаваемых приложениями пользовательского режима и драйверами режима ядра. Трассировка событий Windows состоит из трех компонентов:

Термин Описание

Поставщики

Приложения или компоненты, которые вызывают инструментирование трассировки событий.

Контроллеры

Приложения, которые запускают, останавливают и настраивают сеансы трассировки событий.

Потребители

Приложения, которые получают сеансы трассировки событий (в режиме реального времени) или из файла.

API Kernel-Mode трассировки событий Windows

Программный интерфейс (API) трассировки событий Windows предоставляет набор функций, доступных для компонентов и драйверов в режиме ядра. Трассировка событий WMI и трассировка программного обеспечения WPP используют трассировку событий Windows. Разработчики драйверов могут использовать эти функции для регистрации драйвера в качестве поставщика трассировки событий Windows. Поставщики трассировки событий Windows могут создавать события и публиковать их в журнале событий Windows или записывать события в сеанс трассировки событий Windows, который записывается в файл трассировки или доставляется потребителю в режиме реального времени. События — это сущности, описывающие интересные события в системе и определяемые набором атрибутов, определяемых поставщиками трассировки событий Windows.

Трассировка событий Windows реализована в операционной системе Windows и предоставляет разработчикам быстрый, надежный и универсальный набор функций трассировки событий с очень небольшим влиянием на производительность. Вы можете динамически включать или отключать трассировку без перезагрузки компьютера или перезагрузки приложения или драйвера. В отличие от операторов отладки, добавляемых в код во время разработки, в рабочем коде можно использовать etw.

Когда следует использовать трассировку событий

Используйте API режима ядра трассировки событий Windows, чтобы публиковать события, которые могут использоваться приложениями, заинтересованными в событиях администрирования, эксплуатации и аналитики, в дополнение к подробной трассировке, которая может потребоваться во время разработки. Используйте трассировку программного обеспечения WPP, если вы заинтересованы в основном в сборе данных трассировки для целей разработки и отладки.