BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

ETW整合Windows事件日志

| 作者 Jonathan Allen 关注 594 他的粉丝 ,译者 廖煜嵘 关注 0 他的粉丝 发布于 2013年9月1日. 估计阅读时间: 3 分钟 | CNUTCon 了解国内外一线大厂50+智能运维最新实践案例。

ETW或者称为Windows事件追踪是一款适合Windows Vista和后续操作系统的高性能日志系统。在特定的操作系统中,它每秒能够处理超过100,000个事件,远远超过了大部分应用所需。

与其他基于行的典型日志框架不同的是,ETW源所生成的事件是结构化的。ETW框架本身并没有预定义字段名。相反,它们都是基于事件来源类的结构定义的。考虑一下下面这个由Vance Morrison提供的例子。

sealed class MinimalEventSource : EventSource
{
    public void Load(long ImageBase, string Name) { WriteEvent(1, ImageBase, Name);} 
    public void LoadComplete(string Name,int Duration){WriteEvent(2, Name, Duration);}
    public static MinimalEventSource Log = new MinimalEventSource(); 
}

日志中列的名称是基于函数中的参数名称命名的,因此不是使用标准的驼峰写法命名。传递到WriteEvent中的数字和其在源代码函数出现的序号是一致的。

正常情况下ETW日志功能是被禁用的;事件只能使用像PerfView这样的工具监听。这让你能够检查生产环境中运行的应用程序而无需修改配置文件。但有时用户可能仍然要主动地将日志数据记录在某处。这就是新的Microsoft EventSource类库大派用场的地方。

Microsoft EventSource类库 允许用户使用属性标记ETW事件以表明它们也要被发送到Windows事件日志中。一个名为“Microsoft.Diagnostics.Tracing.EventSource”的新基类替代了标准的“System.Diagnostics.Tracing.EventSource”类。然后使用EventSourceAttribute属性指定日志的保存目录。最后,所有将会被复制到Windows事件日志中的ETW事件声明都会添加一个EventAttribute属性。

不幸的是,这种方案和其他Windows事件日志写入器有相同的限制。在日志中有一个有限的空间,所以你不应该使用它记录高频事件。系统管理员需要创建新的事件日志文件夹。

为了更方便地注册日志,NuGet包创建了一个能被传递到wevutil的maniftest文件。

查看英文原文:Windows Event Log Integration with ETW


感谢孙镜涛对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ)或者腾讯微博(@InfoQ)关注我们,并与我们的编辑和其他读者朋友交流。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT