ETW 整合 Windows 事件日志

  • Jonathan Allen
  • 廖煜嵘

2013 年 8 月 31 日

话题:.NETDevOps语言 & 开发

ETW 或者称为 Windows 事件追踪是一款适合 Windows Vista 和后续操作系统的高性能日志系统。在特定的操作系统中,它每秒能够处理超过 100,000 个事件,远远超过了大部分应用所需。

与其他基于行的典型日志框架不同的是,ETW 源所生成的事件是结构化的。ETW 框架本身并没有预定义字段名。相反,它们都是基于事件来源类的结构定义的。考虑一下下面这个由Vance Morrison提供的例子。

sealed class MinimalEventSource : EventSource
{
    public void Load(long ImageBase, string Name) { WriteEvent(1, ImageBase, Name);} 
    public void LoadComplete(string Name,int Duration){WriteEvent(2, Name, Duration);}
    public static MinimalEventSource Log = new MinimalEventSource(); 
}

日志中列的名称是基于函数中的参数名称命名的,因此不是使用标准的驼峰写法命名。传递到 WriteEvent 中的数字和其在源代码函数出现的序号是一致的。

正常情况下 ETW 日志功能是被禁用的;事件只能使用像 PerfView 这样的工具监听。这让你能够检查生产环境中运行的应用程序而无需修改配置文件。但有时用户可能仍然要主动地将日志数据记录在某处。这就是新的 Microsoft EventSource 类库大派用场的地方。

Microsoft EventSource 类库 允许用户使用属性标记 ETW 事件以表明它们也要被发送到 Windows 事件日志中。一个名为“Microsoft.Diagnostics.Tracing.EventSource”的新基类替代了标准的“System.Diagnostics.Tracing.EventSource”类。然后使用EventSourceAttribute属性指定日志的保存目录。最后,所有将会被复制到 Windows 事件日志中的 ETW 事件声明都会添加一个 EventAttribute 属性。

不幸的是,这种方案和其他 Windows 事件日志写入器有相同的限制。在日志中有一个有限的空间,所以你不应该使用它记录高频事件。系统管理员需要创建新的事件日志文件夹。

为了更方便地注册日志,NuGet 包创建了一个能被传递到 wevutil 的 maniftest 文件。

查看英文原文:Windows Event Log Integration with ETW


感谢孙镜涛对本文的审校。

给 InfoQ 中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ)或者腾讯微博(@InfoQ)关注我们,并与我们的编辑和其他读者朋友交流。

.NETDevOps语言 & 开发