ETW入门刘振东.PDF

ETW入门 刘振东 2015/5/28 2015/6/4 第1页 内容提纲 • ETW 介绍 • ETW 使用 • ETW 监控本机Demo • ETW 监控远程机器的思路 • 底层类库：EventSource 介绍 • 底层类库：TraceEvent 介绍 2015/6/4 第2页 ETW 是什么？ 1.Event Tracing for Windows (ETW) ：是由 操作系统提供的一种通用的，系统开销较低(与 性能日志和警报相比)的事件追踪手段，用以监 控具有负载的系统的性能。 2.ETW主要用于必须频繁记录事件、错误、警 告或审核的服务器应用程序。ETW提供用户模 式的应用程序和内核模式的设备驱动程序所触 发的事件追踪机制。此外，ETW还能够动态地 启用或者禁用日志记录，便于进行详细的追踪， 而无需重新启动操作系统或者应用程序。 2015/6/4 第3页 ETW 的历史 1.ETW最先在Windows 2000中被引入。自那 时以后，各种Windows操作系统核心和服务组 件都通过ETW记录其活动，它现在是 Windows平台上的关键系统仪表技术之一。在 Windows 7中，ETW得到了进一步的增强。 2.正是基于ETW的优秀性能和强大功能，越来 越多的第三方应用程序开始放弃自己的日志系 统，逐渐开始使用ETW来追踪和记录其状态和 活动，从而进行性能调优或者是进行应用程序 的日常维护。 2015/6/4 第4页 为什么要用事件追踪日志？ 目前的软件系统变得日益庞大和复杂，大量组合和工作负载特征的 不断变化也增加了各种软件故障诊断的难度，软件的开发和管理随 之成为一项艰巨的挑战。应用程序事件追踪日志在此方面尤为重要。  针对某些关键的错误状态添加的智能检测手段可以极大地缩短 故障的定位、调试、分析时间；  对于不易重现的问题提供数据依据；  有助于解决性能问题，发现开发阶段未预见到的瓶颈；  可以使用各种管理工具从事件跟踪日志中得出统计数据，以用 于容量规划和趋势分析。 2015/6/4 第5页 ETW 的优势  提供程序与跟踪会话相分离，应用程序的故障（发生崩溃或挂起）不会对跟踪造成影 响。  能够动态地启用和禁用日志记录，轻松地在实际生产环境下进行详细跟踪，而无需重 新启动系统或重新启动应用程序。  在关闭事件跟踪时间几乎不消耗系统资源；对比其他事件追踪技术，其性能优势明显.  可自定义消息格式，便于扩展；而且自定义格式有助于日志数据的保密。  日志记录机制使用每处理器的缓冲区，由异步写线程将这些缓冲区写入磁盘。这样， 大型服务器应用程序在写入事件时所受的干扰能够降至最小。  ETW 使用内核中实现的缓冲和日志记录机制，提供对用户模式应用程序和内核模式 设备驱动程序引发的事件的跟踪机制。  收集事件的时间戳的时钟分辨率可精确到100 ns ；系统可提供10 ms ；100 ns ；处 理器时钟周期三种方式。  ETW自Windows 2000引入操作系统， 在 Windows Vista™ 之后引入了统一的事件 提供程序模型和