ETW整合Windows事件日志

ETW或者称为Windows事件追踪是一款适合Windows Vista和后续操作系统的高性能日志系统。在特定的操作系统中，它每秒能够处理超过100,000个事件，远远超过了大部分应用所需。

与其他基于行的典型日志框架不同的是，ETW源所生成的事件是结构化的。ETW框架本身并没有预定义字段名。相反，它们都是基于事件来源类的结构定义的。考虑一下下面这个由Vance Morrison提供的例子。

sealed class MinimalEventSource : EventSource
{
    public void Load(long ImageBase, string Name) { WriteEvent(1, ImageBase, Name);} 
    public void LoadComplete(string Name,int Duration){WriteEvent(2, Name, Duration);}
    public static MinimalEventSource Log = new MinimalEventSource(); 
}

日志中列的名称是基于函数中的参数名称命名的，因此不是使用标准的驼峰写法命名。传递到WriteEvent中的数字和其在源代码函数出现的序号是一致的。

正常情况下ETW日志功能是被禁用的；事件只能使用像PerfView这样的工具监听。这让你能够检查生产环境中运行的应用程序而无需修改配置文件。但有时用户可能仍然要主动地将日志数据记录在某处。这就是新的Microsoft EventSource类库大派用场的地方。

Microsoft EventSource类库 允许用户使用属性标记ETW事件以表明它们也要被发送到Windows事件日志中。一个名为“Microsoft.Diagnostics.Tracing.EventSource”的新基类替代了标准的“System.Diagnostics.Tracing.EventSource”类。然后使用EventSourceAttribute属性指定日志的保存目录。最后，所有将会被复制到Windows事件日志中的ETW事件声明都会添加一个EventAttribute属性。

不幸的是，这种方案和其他Windows事件日志写入器有相同的限制。在日志中有一个有限的空间，所以你不应该使用它记录高频事件。系统管理员需要创建新的事件日志文件夹。

为了更方便地注册日志，NuGet包创建了一个能被传递到wevutil的maniftest文件。

查看英文原文：Windows Event Log Integration with ETW

感谢孙镜涛对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作，请邮件至[email protected]。也欢迎大家通过新浪微博（@InfoQ）或者腾讯微博（@InfoQ）关注我们，并与我们的编辑和其他读者朋友交流。