摘要： 事件追踪（ETW）Windows提供了统一的跟踪和记录事件的机制，称为ETW。用户模式的应用程序和内核模式的驱动程序都可以使用ETW来记录事件。ETW是直接由内核支持的事件记录机制，在它的框架结构中，共有三种组件：控制器（controller）。负责启动、停止或配置事件记录会话提供者（provider）。负责向ETW注册自己的事件类，并接受控制器的命令，以便启动或停止它们所负责的事件类的记录过程消费者（consumer）。负责有针对性地读取它们想要的事件数据，选择一个活多个记录会话。它们既可以实时地接收ETW缓冲区中的数据，也可以接收日志文件中的事件数据。Windows内置了一个内核日志记录器 阅读全文