Có sẵn trong hệ điều hành Windows và chạy ở kernel mode, giúp theo dõi và ghi lại các events được triggered bởi drivers và các user-mode application.
Kiến trúc của ETW:
Với:
- Event: chẳng hạn như process creation, driver loading hay registry access.
- Provider: thành phần tạo events - có thể của từ user mode app, kernel driver hoặc bản thân kernel của Windows. Để gửi events, nó sẽ cần phải sử dụng logging APIs của ETW.
- Session: đóng vai trò như là một broker trung gian (giống RabbitMQ) để chuyển tiếp events từ một hoặc nhiều providers đến cho consumer. Về bản chất, nó là một kernel object thực hiện thu thập events và cho vào một kernel buffer.
- Controller: start, stop hoặc update session. Có thể enable hoặc disable providers. Controller có thể được gọi bằng tool của Microsoft hoặc ta có thể tự viết.
- Consumer: là app mà đọc logged trace file (ETL file) hoặc capture events trong một session lúc real time.
Nó có cung cấp một bộ API được cung cấp cho các kernel drivers.