Ereignisablaufverfolgung für Windows
Die ETW-Infrastruktur (Ereignisverfolgung für Windows) bietet die Grundlage für das Windows Performance Toolkit. Diese Tools bieten eine Reihe von Programmen, die die Komplexität der Arbeit direkt mit den ETW-APIs (Anwendungsprogrammierschnittstellen) ausblenden.
Dieser Artikel bietet eine umfassende Einführung in ETW. Weitere Informationen zu ETW finden Sie unter Ereignisablaufverfolgung.
ETW ermöglicht die konsistente, einfache Erfassung von Kernel- und Anwendungsereignissen. Sie können die Ereignisaufnahme jederzeit aktivieren oder deaktivieren, ohne das System oder den Prozess neu zu starten. Die Windows Leistungsanalyse (WPA) präsentiert die Informationen, die ETW sammelt, in einem leicht verständlichen Satz von Diagrammen und Tabellen zusammen.
Sie können ausgewählte Ereignisse erfassen und präsentieren, um nicht-invasive System- und Anwendungsleistungsprobleme zu identifizieren und zu diagnostizieren. Sie können die Ereignisablaufverfolgung dynamisch aktivieren oder deaktivieren. Windows Performance Recorder (WPR) verwendet ETW, um kritische Systeminformationen zu sammeln und zu organisieren. WPR fungiert als der Sitzungscontroller; es startet und beendet die Sitzung und wählt aus, welche ETW-Ereignisse erfasst werden sollen.
WPA verwendet die Ereignisablaufverfolgungsprotokoll- (ETL) Datei, die alle Ereignisanbieter in einer ETW-Sitzung erstellen. Kernel- und Anwendungsereignisse können umfangreiche Details zum Betrieb des Systems bereitstellen. Fast jedes Kernelereignis, das sich auf die Gesamtsystemleistung auswirkt, ist definiert und für WPA verfügbar.