事件跟踪

目的

Windows 事件跟踪 (ETW) 使应用程序程序员能够启动和停止事件跟踪会话,检测应用程序以提供跟踪事件,并使用跟踪事件。 跟踪事件包含事件标头和提供程序定义的数据,用于描述应用程序或操作的当前状态。 你可以使用这些事件来调试应用程序,并执行容量和性能分析。

本文档适用于想要使用 ETW 的用户模式应用程序。 有关检测在内核模式下运行的设备驱动程序的信息,请参阅 Windows 驱动程序工具包中的 " WPP 软件跟踪 " 和 " 将事件跟踪添加到 Kernel-Mode 驱动 程序 (WDK) "。

如果适用

当你想要检测应用程序、将用户或内核事件记录到日志文件中,并使用日志文件中的事件时,请使用 ETW。

开发人员受众

ETW 适用于编写用户模式应用程序的 C 和 c + + 开发人员。

运行时要求

ETW 包含在 Microsoft Windows 2000 和更高版本中。 有关使用特定功能所需的操作系统的信息,请参阅函数文档的 "要求" 部分。

在 .NET 代码中处理 ETW 跟踪

可以使用 .Net TRACEPROCESSING API 分析应用程序和其他软件组件的 ETW 跟踪。 此 API 在 Microsoft 内部用于分析生成 Windows 工程系统的 ETW 数据,还用于在 Windows 性能分析器中为多个表通电。 此 API 以 NuGet 包的形式提供。

有关详细信息,请参阅此文章

在本节中

主题 说明
事件跟踪中的新增功能
已添加到每个版本中的事件跟踪的新增功能。
关于事件跟踪
有关事件跟踪的一般信息。
使用事件跟踪
与任务相关的主题,介绍如何使用 ETW API。
事件跟踪参考
ETW 函数和其他编程元素的详细说明。