(시리즈 글이 2개 있습니다.)

.NET Framework: 651. C# - 특정 EXE 프로세스를 종료시킨 EXE를 찾아내는 방법
; https://www.sysnet.pe.kr/2/0/11172

.NET Framework: 926. C# - ETW를 이용한 ThreadPool 스레드 감시
; https://www.sysnet.pe.kr/2/0/12260

C# - ETW를 이용한 ThreadPool 스레드 감시

ETW를 이용해 ThreadPool을 감시하는 것은 1) Worker 스레드를 위한 ThreadPoolWorkerThreadStart, ThreadPoolWorkerThreadStop 이벤트와 2) I/O 스레드를 위한 IOThreadCreationStart, IOThreadCreationStop 이벤트를 구독하면 됩니다.

using (var session = new TraceEventSession(sessionName, null))
{
    var restarted = session.EnableProvider(
        ClrTraceEventParser.ProviderGuid, TraceEventLevel.Verbose,
        (ulong)(ClrTraceEventParser.Keywords.Threading));

    Console.CancelKeyPress += delegate (object sender, ConsoleCancelEventArgs e) { session.Dispose(); };

    using (TraceLogEventSource traceLogSource = TraceLog.CreateFromTraceEventSession(session))
    {
        traceLogSource.Clr.ThreadPoolWorkerThreadStart += delegate (ThreadPoolWorkerThreadTraceData data)
        {
            if (data.ProcessID != _processId)
            {
                return;
            }

            Console.WriteLine($"[{data.TimeStamp}] {data.ThreadID} Worker Start");
        };

        traceLogSource.Clr.ThreadPoolWorkerThreadStop += delegate (ThreadPoolWorkerThreadTraceData data)
        {
            if (data.ProcessID != _processId)
            {
                return;
            }

            Console.WriteLine($"[{data.TimeStamp}] {data.ThreadID} Worker Stop");
        };

        traceLogSource.Clr.IOThreadCreationStart += delegate (IOThreadTraceData data)
        {
            if (data.ProcessID != _processId)
            {
                return;
            }

            Console.WriteLine($"[{data.TimeStamp}] {data.ThreadID} IO Start");
        };

        traceLogSource.Clr.IOThreadCreationStop += delegate (IOThreadTraceData data)
        {
            if (data.ProcessID != _processId)
            {
                return;
            }

            Console.WriteLine($"[{data.TimeStamp}] {data.ThreadID} IO Stop");
        };

        traceLogSource.Process();
    }

    // ...[생략]...}
}

테스트할 수 있는 예제로 다음과 같이 Worker 스레드와 I/O 스레드를 사용하는 코드를 넣고,

using System;
using System.Diagnostics;
using System.IO;
using System.Threading;
using System.Threading.Tasks;

namespace TestApp
{
    class Program
    {
        static async Task Main(string[] args)
        {
            Debug.Assert(ThreadPool.SetMinThreads(2, 1));
            Debug.Assert(ThreadPool.SetMaxThreads(4, 4)); // 4개로 제한

            Thread.Sleep(5000);
            Console.WriteLine(Process.GetCurrentProcess().Id);

            for (int i = 0; i < 4; i++) 
            {
                ThreadPool.QueueUserWorkItem(async (arg) =>
                {
                    // 이 코드는 닷넷 프레임워크 환경에서 테스트한 것입니다. (참고: 닷넷 런타임에 따라 달라지는 AppDomain.GetCurrentThreadId의 반환값)
                    Console.WriteLine($"[{DateTime.Now}] {AppDomain.GetCurrentThreadId()} {Thread.CurrentThread.ManagedThreadId} WorkerThread: " + arg);
                    await ReadFileAsync();
                    Console.WriteLine($"[{DateTime.Now}] {AppDomain.GetCurrentThreadId()} {Thread.CurrentThread.ManagedThreadId} WorkerThread: " + arg + ": End");
                }, i);
            }

            Console.ReadLine();
        }

        static async Task ReadFileAsync()
        {
            string filePath = typeof(Program).Assembly.Location;
            FileStream fs = new FileStream(filePath, FileMode.Open, FileAccess.Read, FileShare.ReadWrite, 4096, true);
            byte[] buf = new byte[1024];
            await fs.ReadAsync(buf, 0, buf.Length);

            fs.Dispose(); 
            Console.WriteLine($"[{DateTime.Now}] {AppDomain.GetCurrentThreadId()} {Thread.CurrentThread.ManagedThreadId} Done");
        }
    }
}

실행해 보면,

[2020-07-08 오전 9:04:02] 44576 3 WorkerThread: 0
[2020-07-08 오전 9:04:02] 27876 6 WorkerThread: 3
[2020-07-08 오전 9:04:02] 24556 5 WorkerThread: 2
[2020-07-08 오전 9:04:02] 11376 4 WorkerThread: 1
[2020-07-08 오전 9:04:02] 24556 5 Done
[2020-07-08 오전 9:04:02] 11376 4 Done
[2020-07-08 오전 9:04:02] 11376 4 WorkerThread: 0: End
[2020-07-08 오전 9:04:02] 11376 4 Done
[2020-07-08 오전 9:04:02] 11376 4 WorkerThread: 2: End
[2020-07-08 오전 9:04:02] 27876 6 Done
[2020-07-08 오전 9:04:02] 27876 6 WorkerThread: 3: End
[2020-07-08 오전 9:04:02] 24556 5 WorkerThread: 1: End

위의 상황에 대한 ETW 모니터링 결과가 다소 실망스럽습니다.

[2020-07-08 오전 9:04:02] 44576 Worker Start
[2020-07-08 오전 9:04:02] 11376 Worker Start
[2020-07-08 오전 9:04:02] 24556 Worker Start
[2020-07-08 오전 9:04:02] 27876 Worker Start
[2020-07-08 오전 9:04:02] 11376 IO Start
[2020-07-08 오전 9:04:02] 24556 IO Start
[2020-07-08 오전 9:04:02] 44576 IO Start
[2020-07-08 오전 9:04:17] 55484 IO Stop
[2020-07-08 오전 9:04:17] 53212 IO Stop
[2020-07-08 오전 9:04:22] 44576 Worker Stop
[2020-07-08 오전 9:04:22] 24556 Worker Stop
[2020-07-08 오전 9:04:22] 27876 Worker Stop
[2020-07-08 오전 9:04:22] 11376 Worker Stop

보는 바와 같이 IO Start/Stop의 짝이 안 맞을뿐더러, 테스트 코드를 약간 바꿔서,

static async Task Main(string[] args)
{
    Debug.Assert(ThreadPool.SetMinThreads(2, 1));
    Debug.Assert(ThreadPool.SetMaxThreads(4, 4)); // 4개로 제한

    Thread.Sleep(5000);
    Console.WriteLine(Process.GetCurrentProcess().Id);

    for (int i = 0; i < 4; i++) 
    {
        ThreadPool.QueueUserWorkItem(async (arg) =>
        {
            Console.WriteLine($"[{DateTime.Now}] {AppDomain.GetCurrentThreadId()} {Thread.CurrentThread.ManagedThreadId} WorkerThread: " + arg);
            ReadFile();
            Console.WriteLine($"[{DateTime.Now}] {AppDomain.GetCurrentThreadId()} {Thread.CurrentThread.ManagedThreadId} WorkerThread: " + arg + ": End");
        }, i);
    }

    Console.ReadLine();
}

static void ReadFile()
{
    string filePath = typeof(Program).Assembly.Location;
    FileStream fs = new FileStream(filePath, FileMode.Open, FileAccess.Read, FileShare.ReadWrite, 4096, true);
    byte[] buf = new byte[1024];

    fs.BeginRead(buf, 0, buf.Length, (obj) =>
    {
        IAsyncResult result = obj as IAsyncResult;
        fs.EndRead(result);

        fs.Dispose();
        Console.WriteLine($"[{DateTime.Now}] {AppDomain.GetCurrentThreadId()} {Thread.CurrentThread.ManagedThreadId} Done");
    }, fs);
}

실행해 보면, BeginRead의 콜백 메서드가 출력한 I/O 스레드의 thread id가,

[2020-07-08 오전 9:18:13] 9180 5 WorkerThread: 1
[2020-07-08 오전 9:18:13] 38904 6 WorkerThread: 2
[2020-07-08 오전 9:18:13] 20752 4 WorkerThread: 3
[2020-07-08 오전 9:18:13] 53232 3 WorkerThread: 0
[2020-07-08 오전 9:18:13] 38904 6 WorkerThread: 2: End
[2020-07-08 오전 9:18:13] 20752 4 WorkerThread: 3: End
[2020-07-08 오전 9:18:13] 9180 5 WorkerThread: 1: End
[2020-07-08 오전 9:18:13] 53232 3 WorkerThread: 0: End
[2020-07-08 오전 9:18:13] 20752 4 Done
[2020-07-08 오전 9:18:13] 20752 4 Done
[2020-07-08 오전 9:18:13] 53232 3 Done
[2020-07-08 오전 9:18:13] 9180 5 Done

ETW 모니터링의 IO Stop 이벤트에서는 연결이 안 됩니다.

[2020-07-08 오전 9:18:13] 53232 Worker Start
[2020-07-08 오전 9:18:13] 9180 Worker Start
[2020-07-08 오전 9:18:13] 38904 Worker Start
[2020-07-08 오전 9:18:13] 20752 Worker Start
[2020-07-08 오전 9:18:13] 9180 IO Start
[2020-07-08 오전 9:18:13] 20752 IO Start
[2020-07-08 오전 9:18:13] 38904 IO Start
[2020-07-08 오전 9:18:13] 53232 IO Start
[2020-07-08 오전 9:18:28] 3664 IO Stop
[2020-07-08 오전 9:18:28] 13716 IO Stop
[2020-07-08 오전 9:18:28] 3980 IO Stop
[2020-07-08 오전 9:18:33] 38904 Worker Stop
[2020-07-08 오전 9:18:33] 9180 Worker Stop
[2020-07-08 오전 9:18:33] 53232 Worker Stop
[2020-07-08 오전 9:18:33] 20752 Worker Stop

위의 결과만으로는, IO Start와 IO Stop의 정보를 연결할 단서가 없어 모니터링으로써의 효과가 거의 없습니다. 그래도 일단 이번에는 여기까지라도 알아두고. ^^

(첨부 파일은 이 글의 예제 코드를 포함합니다.)

[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[최초 등록일: 7/8/2020]
[최종 수정일: 4/7/2022]

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

by SeongTae Jeong, mailto:techsharer at outlook.com

No	Writer	Date	Cnt.	Title	File(s)
12110	정성태	1/11/2020	11930	디버깅 기술: 154. Patch Guard로 인해 블루 스크린(BSOD)가 발생하는 사례 [5]	1
12109	정성태	1/10/2020	9817	오류 유형: 588. Driver 프로젝트 빌드 오류 - Inf2Cat error -2: "Inf2Cat, signability test failed."
12108	정성태	1/10/2020	9843	오류 유형: 587. Kernel Driver 시작 시 127(The specified procedure could not be found.) 오류 메시지 발생
12107	정성태	1/10/2020	10800	.NET Framework: 877. C# - 프로세스의 모든 핸들을 열람 - 두 번째 이야기
12106	정성태	1/8/2020	12201	VC++: 136. C++ - OSR Driver Loader와 같은 Legacy 커널 드라이버 설치 프로그램 제작 [1]
12105	정성태	1/8/2020	10874	디버깅 기술: 153. C# - PEB를 조작해 로드된 DLL을 숨기는 방법
12104	정성태	1/7/2020	11553	DDK: 9. 커널 메모리를 읽고 쓰는 NT Legacy driver와 C# 클라이언트 프로그램 [4]
12103	정성태	1/7/2020	14274	DDK: 8. Visual Studio 2019 + WDK Legacy Driver 제작- Hello World 예제 [1]	2
12102	정성태	1/6/2020	11878	디버깅 기술: 152. User 권한(Ring 3)의 프로그램에서 _ETHREAD 주소(및 커널 메모리를 읽을 수 있다면 _EPROCESS 주소) 구하는 방법
12101	정성태	1/5/2020	11223	.NET Framework: 876. C# - PEB(Process Environment Block)를 통해 로드된 모듈 목록 열람
12100	정성태	1/3/2020	9259	.NET Framework: 875. .NET 3.5 이하에서 IntPtr.Add 사용
12099	정성태	1/3/2020	11566	디버깅 기술: 151. Windows 10 - Process Explorer로 확인한 Handle 정보를 windbg에서 조회 [1]
12098	정성태	1/2/2020	11144	.NET Framework: 874. C# - 커널 구조체의 Offset 값을 하드 코딩하지 않고 사용하는 방법 [3]
12097	정성태	1/2/2020	9703	디버깅 기술: 150. windbg - Wow64, x86, x64에서의 커널 구조체(예: TEB) 구조체 확인
12096	정성태	12/30/2019	11686	디버깅 기술: 149. C# - DbgEng.dll을 이용한 간단한 디버거 제작 [1]
12095	정성태	12/27/2019	13103	VC++: 135. C++ - string_view의 동작 방식
12094	정성태	12/26/2019	11278	.NET Framework: 873. C# - 코드를 통해 PDB 심벌 파일 다운로드 방법
12093	정성태	12/26/2019	11291	.NET Framework: 872. C# - 로딩된 Native DLL의 export 함수 목록 출력	1
12092	정성태	12/25/2019	10735	디버깅 기술: 148. cdb.exe를 이용해 (ntdll.dll 등에 정의된) 커널 구조체 출력하는 방법
12091	정성태	12/25/2019	12218	디버깅 기술: 147. pdb 파일을 다운로드하기 위한 symchk.exe 실행에 필요한 최소 파일 [1]
12090	정성태	12/24/2019	10891	.NET Framework: 871. .NET AnyCPU로 빌드된 PE 헤더의 로딩 전/후 차이점 [1]	1
12089	정성태	12/23/2019	11581	디버깅 기술: 146. gflags와 _CrtIsMemoryBlock을 이용한 Heap 메모리 손상 여부 체크
12088	정성태	12/23/2019	10555	Linux: 28. Linux - 윈도우의 "Run as different user" 기능을 shell에서 실행하는 방법
12087	정성태	12/21/2019	11026	디버깅 기술: 145. windbg/sos - Dictionary의 entries 배열 내용을 모두 덤프하는 방법 (do_hashtable.py) [1]
12086	정성태	12/20/2019	13069	디버깅 기술: 144. windbg - Marshal.FreeHGlobal에서 발생한 덤프 분석 사례
12085	정성태	12/20/2019	10808	오류 유형: 586. iisreset - The data is invalid. (2147942413, 8007000d) 오류 발생 - 두 번째 이야기 [1]

AD BLOCK 해제 요청

C# - ETW를 이용한 ThreadPool 스레드 감시