GTLC全球技术领导力峰会·上海站,首批讲师正式上线! 了解详情
写点什么

ETW 整合 Windows 事件日志

2013 年 8 月 31 日

ETW 或者称为 Windows 事件追踪是一款适合 Windows Vista 和后续操作系统的高性能日志系统。在特定的操作系统中,它每秒能够处理超过 100,000 个事件,远远超过了大部分应用所需。

与其他基于行的典型日志框架不同的是,ETW 源所生成的事件是结构化的。ETW 框架本身并没有预定义字段名。相反,它们都是基于事件来源类的结构定义的。考虑一下下面这个由 Vance Morrison 提供的例子。

复制代码
sealed class MinimalEventSource : EventSource
{
    public void Load(long ImageBase, string Name) { WriteEvent(1, ImageBase, Name);}
    public void LoadComplete(string Name,int Duration){WriteEvent(2, Name, Duration);}
    public static MinimalEventSource Log = new MinimalEventSource();
}

日志中列的名称是基于函数中的参数名称命名的,因此不是使用标准的驼峰写法命名。传递到 WriteEvent 中的数字和其在源代码函数出现的序号是一致的。

正常情况下 ETW 日志功能是被禁用的;事件只能使用像 PerfView 这样的工具监听。这让你能够检查生产环境中运行的应用程序而无需修改配置文件。但有时用户可能仍然要主动地将日志数据记录在某处。这就是新的 Microsoft EventSource 类库大派用场的地方。

Microsoft EventSource 类库 允许用户使用属性标记 ETW 事件以表明它们也要被发送到 Windows 事件日志中。一个名为“Microsoft.Diagnostics.Tracing.EventSource”的新基类替代了标准的“System.Diagnostics.Tracing.EventSource”类。然后使用 EventSourceAttribute 属性指定日志的保存目录。最后,所有将会被复制到 Windows 事件日志中的 ETW 事件声明都会添加一个 EventAttribute 属性。

不幸的是,这种方案和其他 Windows 事件日志写入器有相同的限制。在日志中有一个有限的空间,所以你不应该使用它记录高频事件。系统管理员需要创建新的事件日志文件夹。

为了更方便地注册日志,NuGet 包创建了一个能被传递到 wevutil 的 maniftest 文件。

查看英文原文: Windows Event Log Integration with ETW


感谢孙镜涛对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ )或者腾讯微博( @InfoQ )关注我们,并与我们的编辑和其他读者朋友交流。

2013 年 8 月 31 日 03:382542
用户头像

发布了 81 篇内容, 共 16.7 次阅读, 收获喜欢 0 次。

关注

评论

发布
暂无评论
发现更多内容

DNSPod与开源应用专场

DNSPod与开源应用专场

ETW整合Windows事件日志-InfoQ