Windows如何启动和停止etw事件监听
关于Etw
ETW是Event Tracing for Windows的简称,它是Windows提供的原生的事件跟踪日志系统。由于采用内核(Kernel)层面的缓冲和日志记录机制,所以ETW提供了一种非常高效的事件跟踪日志解决方案。Windows (ETW) 的事件跟踪提供一种机制来跟踪和记录由用户模式应用程序和内核模式驱动程序引发的事件。 ETW 在 Windows 操作系统中实现,为开发人员提供了一组快速、可靠且通用的事件跟踪功能。
如何在Windows系统中启动和停止etw事件监听?
依次打开 性能监视器 -> 事件跟踪会话 -> Monitor Etw Session,鼠标右键单击【开始】或【停止】,即可启动Etw线程和停止Etw线程。