事件跟踪
目的
Windows 事件跟踪(ETW)为应用程序程序员提供启动和停止事件跟踪会话、检测应用程序以提供跟踪事件和使用跟踪事件的能力。 跟踪事件包含事件标头和提供程序定义的数据,用于描述应用程序或作的当前状态。 可以使用事件来调试应用程序并执行容量和性能分析。
本文档适用于想要使用 ETW 的用户模式应用程序。 有关检测在内核模式下运行的设备驱动程序的信息,请参阅 WPP 软件跟踪,在 Windows 驱动程序工具包(WDK)中将事件跟踪添加到 Kernel-Mode 驱动程序。
如果适用
如果要检测应用程序、将用户或内核事件记录到日志文件,并使用日志文件中的事件或实时事件,请使用 ETW。
开发人员受众
ETW 专为编写用户模式应用程序的 C 和C++开发人员设计。
运行时要求
ETW 包含在 Windows 2000 及更高版本中Microsoft。 有关使用特定函数所需的作系统的信息,请参阅函数文档的“要求”部分。
在 .NET 代码中处理 ETW 跟踪
可以使用 .NET TraceProcessing API 分析应用程序和其他软件组件的 ETW 跟踪。 此 API 在内部Microsoft用于分析生成 Windows 工程系统的 ETW 数据,还用于为 Windows 性能分析器中的多个表提供支持。 此 API 可用作 NuGet 包。
在本部分中
| 主题 | 描述 |
|---|---|
|
事件跟踪 中的新增功能 |
在每个版本中添加到事件跟踪的新功能。 |
| 有关事件跟踪 的 |
有关事件跟踪的常规信息。 |
| 使用事件跟踪 |
描述如何使用 ETW API 的任务相关主题。 |
|
事件跟踪参考 |
ETW 函数和其他编程元素的详细说明。 |