个人主页杨利杰YJlio❄️个人专栏《Sysinternals实战教程》 《Windows PowerShell 实战》 《WINDOWS教程》 《IOS教程》《微信助手》 《锤子助手》 《Python》 《Kali Linux》《那些年未解决的Windows疑难杂症》让复杂的事情更简单让重复的工作自动化《Windows Internals》10.5.1 ETW 概述看懂 Windows 的“事件高速公路”1、《Windows Internals》10.5.1 ETW 概述看懂 Windows 的“事件高速公路”2、ETW 到底是什么为什么它这么重要2.1 一句话理解 ETW2.2 为什么 ETW 比普通日志更“专业”1高性能2结构化3覆盖面广3、ETW 的核心组成Provider、Session、Consumer 到底各自干什么3.1 Provider事件提供者3.2 Controller控制者3.3 Session跟踪会话3.4 Consumer消费者3.5 Buffer缓冲区3.6 我用一张图把 ETW 的链路串起来4、ETW 的事件是怎么流动的4.1 ETW 的基本工作流程4.2 为什么 ETW 特别适合排障4.3 ETW 更像“系统录像”而不是“结果截图”5、ETW 能解决哪些实际问题5.1 性能分析5.2 启动与登录问题排查5.3 驱动与内核行为分析5.4 应用运行行为观察5.5 作为证据链的一部分6、理解 ETW 时最容易混淆的几个点6.1 ETW 不是事件查看器6.2 ETW 不是某一个单独工具6.3 ETW 不只是给内核用的6.4 ETW 的重点不只是“记录”更是“关联”7、我对 10.5.1 ETW 概述 的一句话总结8、自测题看看自己有没有真正读懂9、写在最后总结一句1、《Windows Internals》10.5.1 ETW 概述看懂 Windows 的“事件高速公路”在学习10.5 Event Tracing for WindowsETW时我最大的感受是ETW 不是一个普通日志功能而是 Windows 为性能分析、问题定位、系统观测提供的一套底层事件追踪基础设施。如果说事件查看器更像是“看结果”那么ETW 更像是“看过程”。它能把系统、驱动、服务、应用程序在运行过程中的关键行为记录下来让我们真正回答两个核心问题系统到底做了什么问题究竟发生在什么时刻、哪个组件、哪条链路上所以这一节的重点不是记住几个英文单词而是先建立一个整体认识ETW Windows 的高性能事件追踪框架。它负责让“事件提供者”把运行时信息高效写出来。然后由会话、缓冲区和消费者去收集、保存、分析这些信息。2、ETW 到底是什么为什么它这么重要2.1 一句话理解 ETW我会把 ETW 解释成Windows 内部的一套“事件采集总线 追踪框架”。它的价值在于普通日志往往是开发者自己写出来的粒度不统一、性能开销也不一定可控而 ETW 是系统级方案它强调的是统一机制高性能低开销支持实时与离线分析适用于系统级与应用级观测这就意味着ETW 不是某个工具而是一套底层能力。很多你熟悉的排障手段本质上都可能建立在 ETW 之上比如性能录制启动分析I/O 跟踪CPU 调度观察网络行为分析驱动与内核问题排查2.2 为什么 ETW 比普通日志更“专业”因为它从设计目标上就不是为了“写点文本看看”而是为了做系统级诊断。我把它总结成三点1高性能ETW 在设计上就考虑了系统运行时的性能影响因此适合在生产环境或接近真实负载的环境下使用。2结构化ETW 记录的是结构化事件而不是随手拼出来的一段字符串。这使得后续分析、筛选、关联更高效。3覆盖面广从内核到用户态、从驱动到应用都可以成为 ETW 的事件来源。所以 ETW 的本质不是“多一种日志”而是“给 Windows 建一条标准化的观察通道”。3、ETW 的核心组成Provider、Session、Consumer 到底各自干什么理解 ETW最关键的就是先把这几个角色分清楚。3.1 Provider事件提供者Provider提供者就是负责“产生日志事件”的对象。它可以是Windows 内核组件驱动程序系统服务应用程序某些框架或子系统你可以把 Provider 理解成“消息源”。比如磁盘 I/O 相关组件可以上报磁盘事件网络子系统可以上报网络事件某个应用程序也可以上报自己的运行事件3.2 Controller控制者Controller控制者负责启动 ETW 会话停止会话配置要监听哪些 Provider指定输出方式和缓冲参数也就是说它决定我要听谁说话、从什么时候开始听、把结果保存到哪里。3.3 Session跟踪会话Session会话是 ETW 的实际运行容器。它的作用是接收 Provider 发来的事件使用缓冲区暂存这些事件决定这些事件是实时传给消费者还是写入日志文件可以把 Session 想成一个“采集通道”。3.4 Consumer消费者Consumer消费者负责读取 ETW 数据并进行展示或分析。常见的消费者可能是Windows Performance AnalyzerWPAxperf / WPR 相关工具链自定义分析程序实时监控组件3.5 Buffer缓冲区Buffer 是 ETW 很关键的一层。因为事件产生速度可能很快如果每来一条就直接落盘性能和效率都可能出问题。因此 ETW 会先把事件写入缓冲区再统一处理。3.6 我用一张图把 ETW 的链路串起来Provider 事件提供者ETW Session 跟踪会话Buffer 缓冲区Log File 日志文件Real-time Consumer 实时消费者Controller 控制者我自己的记忆方式是Provider 负责发Controller 负责控Session 负责收Buffer 负责存Consumer 负责看把这五个角色理顺ETW 的大框架你就已经理解一半了。4、ETW 的事件是怎么流动的理解了角色后我们再看它的工作过程。4.1 ETW 的基本工作流程一个典型 ETW 追踪过程一般是这样控制器创建一个追踪会话选择需要启用的 ProviderProvider 在运行时产生事件事件写入会话缓冲区缓冲区中的数据被实时消费或写入日志文件分析工具读取这些数据进行可视化和诊断这个过程看起来简单但它非常适合做系统级排障因为它能抓到“问题发生当时”的现场。4.2 为什么 ETW 特别适合排障因为很多系统问题都是“过程型问题”比如为什么开机慢为什么某一瞬间 CPU 飙高为什么磁盘突然很忙为什么某个驱动在某个时间点阻塞了系统为什么某个服务启动很慢这些问题只看最终结果通常不够必须看时间序列上的行为变化。而 ETW 恰好非常擅长记录这种“运行过程”。4.3 ETW 更像“系统录像”而不是“结果截图”这是我觉得特别重要的一点事件查看器更像“事后记录”性能计数器更像“指标观察”ETW 更像“过程录像”也正因为如此在系统深度排障里ETW 的地位非常高。很多复杂问题不是“有没有日志”的问题而是“有没有过程级证据”的问题ETW 就是在补这部分证据链。5、ETW 能解决哪些实际问题学习一个底层机制如果不能落到场景里很容易“看懂了但不会用”。所以我把 ETW 的常见用途归纳成下面几类。5.1 性能分析这是 ETW 最经典的场景。比如分析CPU 使用异常磁盘 I/O 瓶颈内存压力应用卡顿系统启动慢服务响应慢5.2 启动与登录问题排查Windows 的启动链路很复杂单靠肉眼很难判断到底慢在哪里。ETW 可以帮助你看清哪个阶段耗时最长哪个驱动加载异常哪个服务启动拖慢整体进度哪个组件阻塞了登录后桌面准备过程5.3 驱动与内核行为分析当问题已经深入到内核对象中断与 DPC驱动调用链文件系统行为网络堆栈行为这时 ETW 的价值就更明显了。5.4 应用运行行为观察不仅系统组件能写 ETW应用程序也可以。因此 ETW 也适合做应用性能分析事务路径跟踪服务端事件链关联问题重现期间的行为记录5.5 作为证据链的一部分在企业一线桌面支持或系统排障中最难的往往不是“修”而是“证明”。而 ETW 的价值之一就是把“感觉像是某个组件有问题”变成某个时间点某个 Provider某类事件某段耗时异常这样就能把问题从“猜测”推进到“证据”。6、理解 ETW 时最容易混淆的几个点6.1 ETW 不是事件查看器这是初学者最容易混淆的地方。事件查看器看系统/应用写出来的传统事件日志ETW更底层、更高性能、更强调过程追踪的事件框架两者都和“事件”有关但定位不一样。6.2 ETW 不是某一个单独工具ETW 是基础设施不是一个 EXE 文件。你平时接触到的 WPR、WPA、xperf 等更多是围绕 ETW 进行采集和分析的工具。6.3 ETW 不只是给内核用的虽然 ETW 常常出现在系统底层分析里但它并不只属于内核。用户态应用、服务、框架都可以使用 ETW。6.4 ETW 的重点不只是“记录”更是“关联”很多日志只能告诉你某一件事发生了。但 ETW 更擅长做的是按时间关联按 Provider 关联按线程/进程上下文关联按系统活动链路关联所以它特别适合做复杂问题的全景还原。7、我对 10.5.1 ETW 概述 的一句话总结如果让我把这一节压缩成一句话我会这样记ETW 是 Windows 为系统与应用运行过程提供的一套高性能事件追踪基础设施它通过 Provider、Session、Buffer、Consumer 这套机制把“系统到底发生了什么”变成可采集、可分析、可回溯的数据链路。再说得更直白一点你想知道系统“结果”——可以先看事件查看器你想知道系统“过程”——就要开始理解 ETW8、自测题看看自己有没有真正读懂ETW 和传统事件日志最大的区别是什么Provider、Controller、Session、Consumer 分别扮演什么角色为什么说 ETW 特别适合性能问题和启动问题分析为什么 ETW 更像“系统录像”而不是“结果截图”在企业排障场景里ETW 的最大价值是“采集日志”还是“建立证据链”为什么9、写在最后我在学习 Windows Internals 时越来越强烈地感受到真正让你从“会用系统”进阶到“理解系统”的往往不是界面操作而是这些底层机制。ETW 就是一个非常典型的例子。它表面上看只是“追踪事件”但本质上是在告诉我们Windows 如何暴露内部行为系统如何让排障变得可观测工程师如何把复杂问题转化为可以验证的数据问题这也正是后续深入学习ETW Provider、Session、Trace 日志、WPR/WPA 工具链的基础。如果你把这一节真正看懂了后面再进入 ETW 的具体实现、采集方式和分析工具时就不会只停留在“会点几个按钮”的层面而会知道自己到底在采什么、为什么这么采、采出来之后要看什么。总结一句10.5.1 这一节的任务不是让我们立刻精通 ETW而是先建立一个正确的脑图ETW 是 Windows 的事件追踪基础设施它记录过程、连接组件、沉淀证据是系统性能分析与深度排障的重要基础。 返回顶部点击回到顶部