Windows-Ereignisse

Ereignisse werden in der Regel für die Problembehandlung von Anwendungs- und Treibersoftware verwendet.

• Vor Windows Vista würden Sie entweder Ereignisablaufverfolgung für Windows (ETW) oder Ereignisprotokollierung zum Protokollieren von Ereignissen verwenden.
• Windows Vista hat ein neues Ereignismodell eingeführt, das sowohl die Ereignisablaufverfolgung für Windows (ETW) als auch Windows-Ereignisprotokoll--API vereinheitlicht hat.
• Windows 10 führt TraceLogging- ein, die auf ETW basiert und eine vereinfachte Möglichkeit zum Instrumentieren von Code für systemeigene .NET- und WinRT-Entwickler bietet.

Mit dem neuen TraceLogging--Modell können Sie strukturierte Daten in Ereignisse einschließen, Ereignisse korrelieren und keine separate XML-Manifestdatei für Die Instrumentierung benötigen.

Das Windows Vista-Modell verwendet ein XML-Manifest, um die Ereignisse zu definieren, die Sie veröffentlichen möchten. Ereignisse können in einem Kanal oder einer ETW-Sitzung veröffentlicht werden. Sie können die Ereignisse in den folgenden Arten von Kanälen veröffentlichen: Administrator, Betriebsbereit, Analyse und Debug. Wenn Sie nur ETW verwenden, um den Herausgeber zu aktivieren, müssen Sie keine Kanäle in Ihrem Manifest angeben. Ausführliche Informationen zum Schreiben eines Manifests finden Sie unter Schreiben eines Instrumentierungsmanifestsund Informationen zu Kanälen finden Sie unter Definieren von Kanälen.

Um Ihren Ereignisherausgeber zu registrieren und Ereignisse zu veröffentlichen, verwenden Sie die ETW-API. Ausführliche Informationen finden Sie unter Bereitstellen von Ereignissen und Developing a Provider. Der Ereignisherausgeber schreibt die Ereignisse automatisch in die kanäle, die im Manifest angegeben sind, wenn sie aktiviert sind.

Wenn Sie die Ereignisse steuern möchten, die ein Ereignisherausgeber auf einer feineren Granularitätsebene veröffentlicht, verwenden Sie die ETW-API. Wenn das Manifest beispielsweise Schreib- und Leseereignisse definiert, können Sie nur die Schreibereignisse aktivieren. Ein Ereignis kann auch einen Levelwert angeben, z. B. Warnung oder Fehler, sodass Sie die Ereignisse einschränken können, die in diejenigen geschrieben werden, die die Fehlerstufe angeben. Ausführliche Informationen finden Sie unter Steuern von Ereignisablaufverfolgungssitzungen. Die Ereignisse werden in die Protokolldatei der Sitzung geschrieben.

Der Verbrauch von Ereignissen umfasst das Abrufen der Ereignisse aus einem Ereigniskanal, eine Ereignisprotokolldatei (EVTX- oder EVT-Dateien), eine Ablaufverfolgungsdatei (ETL-Dateien) oder eine ETW-Sitzung in Echtzeit. Um Ereignisse aus einer ETW-Ablaufverfolgungsdatei oder einer ETW-Sitzung in Echtzeit zu nutzen, verwenden Sie die TDH-Funktionen (Trace Data Helper) in ETW, um die Ereignisse zu nutzen. Sie können TDH auch verwenden, um die Ereignismetadaten zu lesen. Ausführliche Informationen finden Sie unter Verwenden von Ereignissen. Um Ereignisse aus einem Ereigniskanal oder einer Ereignisprotokolldatei zu nutzen, verwenden Sie die Windows-Ereignisprotokollfunktionen, um Ereignisse abzufragen oder zu abonnieren. Weitere Informationen finden Sie unter Abfragen von Ereignissen oder Abonnieren von Ereignissen.

Vor Windows Vista müssen Sie Ereignisablaufverfolgung für Windows oder Ereignisprotokollierung verwenden, um Ereignisse zu veröffentlichen und zu nutzen.