關於驅動程式的事件追蹤
已定義事件追蹤
Windows (ETW 的事件追蹤) 是追蹤和記錄由使用者模式應用程式和核心模式驅動程式引發之事件的有效機制。 ETW 包含三個元件:
| 詞彙 | 描述 |
|---|---|
提供者 |
引發事件追蹤檢測的應用程式或元件。 |
控制器 |
啟動、停止及設定事件追蹤會話的應用程式。 |
取用者 |
即時) 或從檔案接收事件追蹤會話的應用程式 (。 |
The ETW Kernel-Mode API
ETW 應用程式程式設計介面 (API) 提供一組函式,可供核心模式元件和驅動程式使用。 WMI 事件追蹤 和 WPP 軟體追蹤 都使用 ETW。 驅動程式開發人員可以使用這些函式,將驅動程式註冊為 ETW 提供者。 ETW 提供者可以引發事件,並可將它們發佈至 Windows 事件記錄檔,或將其事件寫入 ETW 會話,以寫入追蹤檔案或傳遞至即時取用者。 事件是描述系統中有趣出現的實體,並由 ETW 提供者所決定的一組屬性所定義。
ETW 是在 Windows 作業系統中實作,可為開發人員提供一組快速、可靠且多功能的事件追蹤功能,且對效能的影響很小。 您可以動態啟用或停用追蹤,而不需重新開機電腦,或重載您的應用程式或驅動程式。 不同于您在開發期間新增至程式碼的偵錯語句,您可以在生產程式碼中使用 ETW。
使用事件追蹤的時機
如果您想要發佈應用程式對於系統管理、操作和分析事件感興趣的事件,除了開發期間可能需要的詳細追蹤之外,請使用 ETW 核心模式 API。 如果您有興趣主要收集追蹤資料以進行開發和偵錯,請使用 WPP 軟體追蹤。