Windows-Ereignisse
Ereignisse werden in der Regel für die Problembehandlung von Anwendungs- und Treibersoftware verwendet.
- Vor Windows Vista haben Sie entweder die Ereignisablaufverfolgung für Windows (ETW) oder die Ereignisprotokollierung verwendet, um Ereignisse zu protokollieren.
- Windows Vista hat ein neues Ereignismodell eingeführt, das sowohl die Ereignisablaufverfolgung für Windows (ETW) als auch die Windows-Ereignisprotokoll-API vereinheitlicht.
- Windows 10 führt TraceLogging ein, das auf ETW basiert und eine vereinfachte Möglichkeit zum Instrumentieren von Code für native Entwickler, .NET- und WinRT-Entwickler bietet.
Das neue TraceLogging-Modell ermöglicht es Ihnen, strukturierte Daten mit Ereignissen einzuschließen, Ereignisse zu korrelieren und erfordert keine separate XML-Datei für das Instrumentierungsmanifest.
Das Windows Vista-Modell verwendet ein XML-Manifest, um die Ereignisse zu definieren, die Sie veröffentlichen möchten. Ereignisse können in einem Kanal oder einer ETW-Sitzung veröffentlicht werden. Sie können die Ereignisse in den folgenden Arten von Kanälen veröffentlichen: Admin, Betriebsbereit, Analyse und Debuggen. Wenn Sie nur ETW zum Aktivieren des Herausgebers verwenden, müssen Sie keine Kanäle in Ihrem Manifest angeben. Ausführliche Informationen zum Schreiben eines Manifests finden Sie unter Schreiben eines Instrumentierungsmanifests und Informationen zu Kanälen finden Sie unter Definieren von Kanälen.
Um Ihren Ereignisherausgeber zu registrieren und Ereignisse zu veröffentlichen, verwenden Sie die ETW-API. Weitere Informationen finden Sie unter Bereitstellen von Ereignissen und Entwickeln eines Anbieters. Der Ereignisherausgeber schreibt die Ereignisse automatisch in die im Manifest angegebenen Kanäle, wenn sie aktiviert sind.
Wenn Sie die Ereignisse, die ein Ereignisherausgeber veröffentlicht, auf einer genaueren Granularitätsebene steuern möchten, verwenden Sie die ETW-API. Wenn das Manifest beispielsweise sowohl Schreib- als auch Leseereignisse definiert, können Sie nur die Schreibereignisse aktivieren. Ein Ereignis kann auch einen Ebenenwert wie Warnung oder Fehler angeben, sodass Sie die Ereignisse einschränken können, die auf diejenigen geschrieben werden, die die Fehlerstufe angeben. Weitere Informationen finden Sie unter Steuern von Ereignisablaufverfolgungssitzungen. Die Ereignisse werden in die Protokolldatei der Sitzung geschrieben.
Die Nutzung von Ereignissen umfasst das Abrufen der Ereignisse aus einem Ereigniskanal, einer Ereignisprotokolldatei (EVTX- oder EVT-Dateien), einer Ablaufverfolgungsdatei (ETL-Dateien) oder einer ETW-Echtzeitsitzung. Um Ereignisse aus einer ETW-Ablaufverfolgungsdatei oder einer ETW-Echtzeitsitzung zu nutzen, verwenden Sie die TDH-Funktionen (Trace Data Helper) in ETW, um die Ereignisse zu nutzen. Sie können auch TDH verwenden, um die Ereignismetadaten zu lesen. Weitere Informationen finden Sie unter Verwenden von Ereignissen. Um Ereignisse aus einem Ereigniskanal oder einer Ereignisprotokolldatei zu nutzen, verwenden Sie die Windows-Ereignisprotokollfunktionen, um Ereignisse abzufragen oder zu abonnieren. Weitere Informationen finden Sie unter Abfragen von Ereignissen oder Abonnieren von Ereignissen.
Vor Windows Vista müssen Sie die Ereignisablaufverfolgung für Windows oder die Ereignisprotokollierung verwenden, um Ereignisse zu veröffentlichen und zu nutzen.