ETW 或者称为 Windows 事件追踪是一款适合 Windows Vista 和后续操作系统的高性能日志系统。在特定的操作系统中,它每秒能够处理超过 100,000 个事件,远远超过了大部分应用所需。
与其他基于行的典型日志框架不同的是,ETW 源所生成的事件是结构化的。ETW 框架本身并没有预定义字段名。相反,它们都是基于事件来源类的结构定义的。考虑一下下面这个由 Vance Morrison 提供的例子。
sealed class MinimalEventSource : EventSource { public void Load(long ImageBase, string Name) { WriteEvent(1, ImageBase, Name);} public void LoadComplete(string Name,int Duration){WriteEvent(2, Name, Duration);} public static MinimalEventSource Log = new MinimalEventSource(); }
日志中列的名称是基于函数中的参数名称命名的,因此不是使用标准的驼峰写法命名。传递到 WriteEvent 中的数字和其在源代码函数出现的序号是一致的。
正常情况下 ETW 日志功能是被禁用的;事件只能使用像 PerfView 这样的工具监听。这让你能够检查生产环境中运行的应用程序而无需修改配置文件。但有时用户可能仍然要主动地将日志数据记录在某处。这就是新的 Microsoft EventSource 类库大派用场的地方。
Microsoft EventSource 类库 允许用户使用属性标记 ETW 事件以表明它们也要被发送到 Windows 事件日志中。一个名为“Microsoft.Diagnostics.Tracing.EventSource”的新基类替代了标准的“System.Diagnostics.Tracing.EventSource”类。然后使用 EventSourceAttribute 属性指定日志的保存目录。最后,所有将会被复制到 Windows 事件日志中的 ETW 事件声明都会添加一个 EventAttribute 属性。
不幸的是,这种方案和其他 Windows 事件日志写入器有相同的限制。在日志中有一个有限的空间,所以你不应该使用它记录高频事件。系统管理员需要创建新的事件日志文件夹。
为了更方便地注册日志,NuGet 包创建了一个能被传递到 wevutil 的 maniftest 文件。
查看英文原文: Windows Event Log Integration with ETW
感谢孙镜涛对本文的审校。
给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ )或者腾讯微博( @InfoQ )关注我们,并与我们的编辑和其他读者朋友交流。
暂无签名
Java 避坑指南:Java 高手笔记代码篇
本迷你书包括 86 个业务开发中常见踩坑点。每一个知识点都相当的实用,是程序员业务开发中的必备避坑指南...
评论