JК
1.Внутреннее устройство Windows (гл. 1-4) :: Руссинович Марк
Страница: 249 из 350Поток записи в журнал пробуждается раз в секунду, чтобы сбросить содержимое буферов в файл журнала.
Записи трассировки, генерируемые для регистратора ядра, имеют стандартный ETW-заголовок события трассировки, в котором содержатся временная метка, идентификаторы процесса и потока, а также сведения о том, какому классу события соответствует данная запись. Классы событий могут предоставлять дополнительные данные, специфичные для их событий. Например, класс дисковых событий (disk event class) указывает тип операции (чтение или запись), номер диска, на котором выполняется операция, а также смещение начального сектора и количество секторов, затрагиваемых данной операцией.
Классы трассировки, которые можно включить для регистратора ядра, и компонент, генерирующий каждый класс, перечислены ниже.
• Дисковый ввод-вывод Драйвер класса дисков.
• Файловый ввод-вывод Драйверы файловой системы.
• Конфигурирование оборудования Диспетчер Plug and Play (см. главу 9).
• Загрузка/выгрузка образов Системный загрузчик образов в ядре.
• Ошибки страниц Диспетчер памяти (см. главу 7).
• Создание/удаление процессов Диспетчер процессов (см. главу 6).
• Создание/удаление потоков Диспетчер процессов.
• Операции с реестром Диспетчер конфигурации (см. раздел «Реестр» в главе 4).
• АктивностьТСР/UDP ДрайверТСР/IР.
Более подробные сведения о ETW и регистраторе ядра, в том числе примеры кода для контроллеров и потребителей, см. в Platform SDK.
Записи трассировки, генерируемые для регистратора ядра, имеют стандартный ETW-заголовок события трассировки, в котором содержатся временная метка, идентификаторы процесса и потока, а также сведения о том, какому классу события соответствует данная запись. Классы событий могут предоставлять дополнительные данные, специфичные для их событий. Например, класс дисковых событий (disk event class) указывает тип операции (чтение или запись), номер диска, на котором выполняется операция, а также смещение начального сектора и количество секторов, затрагиваемых данной операцией.
Классы трассировки, которые можно включить для регистратора ядра, и компонент, генерирующий каждый класс, перечислены ниже.
• Дисковый ввод-вывод Драйвер класса дисков.
• Файловый ввод-вывод Драйверы файловой системы.
• Конфигурирование оборудования Диспетчер Plug and Play (см. главу 9).
• Загрузка/выгрузка образов Системный загрузчик образов в ядре.
• Ошибки страниц Диспетчер памяти (см. главу 7).
• Создание/удаление процессов Диспетчер процессов (см. главу 6).
• Создание/удаление потоков Диспетчер процессов.
• Операции с реестром Диспетчер конфигурации (см. раздел «Реестр» в главе 4).
• АктивностьТСР/UDP ДрайверТСР/IР.
Более подробные сведения о ETW и регистраторе ядра, в том числе примеры кода для контроллеров и потребителей, см. в Platform SDK.