检测 ETW 何时丢弃事件

Question

如何确定 ETW 会话是否正在丢弃事件？

如果正在丢弃事件，如何配置跟踪会话以便不丢弃事件？

我已经写过自定义 ETW 提供程序可帮助进行一些调试工作。我目前正在使用 logman.exe 捕获跟踪数据。

在查看结果时，似乎某些事件正在被删除。基本上我正在寻找类似的东西：

事件A 事件 C

应该是中间事件 B，但它没有出现在跟踪文件中。这种情况应该是不可能发生的，这让我相信 ETW 正在丢弃事件。

当然，我想验证我看到的问题是由于事件丢失造成的，而不是由代码中的错误引起的。我尝试过谷歌，但无法想出任何东西。有谁知道我如何检查事件是否被删除？

Answer 1

它没有直接回答问题（如何检测掉落），但它可能会解释掉落：

EVENT_TRACE_NO_PER_PROCESSOR_BUFFERING

将不同处理器上记录的事件写入公共处理器
缓冲。使用此模式可以消除事件出现的问题
当事件在不同处理器上发布时乱序
使用系统时间。此模式还可以消除以下问题
循环日志似乎在多个处理器上丢弃事件
计算机。

如果您不使用此模式并且使用系统时间，则事件可能会
在多处理器计算机上出现乱序。这是因为
ETW 缓冲区与处理器而不是线程关联。作为一个
结果，如果线程从一个 CPU 切换到另一个 CPU，缓冲区
与后一个 CPU 关联的可以在前一个 CPU 之前刷新到磁盘
与以前的CPU相关联。

如果您预计会发生大量事件（例如，超过 1,000
每秒事件数），您不应该使用此模式。

请注意，事件中不包含处理器编号。不是
在 Windows 7 和 Windows Server 2008 R2 之前可用。

Answer 2

我一直在使用 logman 来捕获结果。看起来跟踪日志将为我提供有关丢失事件的信息，并且我可以调整其缓冲区参数以减少事件丢失。

Answer 3

如果您使用 xperf 收集日志，它会在事件丢失时生成警告。使用 xperf，您还可以调整缓冲区大小，并将日志记录划分到多个记录器。