C# - ETW 이벤트의 Keywords에 속한 EventId 구하는 방법 (1) PInvoke
일례로 예전 ETW 글에서,
C# - (.NET Core 2.2부터 가능한) 프로세스 내부에서 CLR ETW 이벤트 수신
; https://www.sysnet.pe.kr/2/0/12474
"Microsoft-Windows-DotNETRuntime" ETW 제공자의 Exception 키워드(keyword) 범주에 속하는 이벤트를,
.NET runtime exception events
; https://docs.microsoft.com/en-us/dotnet/fundamentals/diagnostics/runtime-exception-events
활성화시켰습니다. 그리고 해당 키워드에 속한 이벤트가 여러 개 있는데 그것들에도 각각 "Event ID"라는 것이 부여되어 있어 식별이 가능합니다. 가령 Exception 범주의 경우 위의 문서에 나오듯이 아래와 같은 ID로 구별되는 이벤트가 발생합니다.
- ExceptionThrown_V1 - Event ID == 80
- ExceptionCatchStart - Event ID == 250
- ExceptionCatchStop - Event ID == 251
- ExceptionFinallyStart - Event ID == 252
- ExceptionFinallyStop - Event ID == 253
- ExceptionFilterStart - Event ID == 254
- ExceptionFilterStop - Event ID == 255
- ExceptionThrownStop - Event ID == 256
사실 이 정보들은 ETW manifest 파일에 기록돼 있긴 합니다.
C:\Windows\Microsoft.NET\Framework\v4.0.30319\CLR-ETW.man
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CLR-ETW.man
<instrumentationManifest xmlns="http://schemas.microsoft.com/win/2004/08/events">
<instrumentation xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:win="http://manifests.microsoft.com/win/2004/08/windows/events">
<events xmlns="http://schemas.microsoft.com/win/2004/08/events">
<!--CLR Runtime Publisher-->
<provider name="Microsoft-Windows-DotNETRuntime" guid="{e13c0d23-ccbc-4e12-931b-d9cc2eee27e4}" symbol="MICROSOFT_WINDOWS_DOTNETRUNTIME_PROVIDER" resourceFileName="%WINDIR%\Microsoft.NET\Framework64\v4.0.30319\clretwrc.dll" messageFileName="%WINDIR%\Microsoft.NET\Framework64\v4.0.30319\clretwrc.dll">
<!--Keywords-->
<keywords>
<keyword name="GCKeyword" mask="0x1" message="$(string.RuntimePublisher.GCKeywordMessage)" symbol="CLR_GC_KEYWORD"/>
...[생략]...
<keyword name="ExceptionKeyword" mask="0x8000" message="$(string.RuntimePublisher.ExceptionKeywordMessage)" symbol="CLR_EXCEPTION_KEYWORD"/>
...[생략]...
</keywords>
..[생략]...
<events>
<!-- CLR GC events, value reserved from 0 to 39 and 200 to 239 -->
<!-- Note the opcode's for GC events do include 0 to 9 for backward compatibility, even though
they don't mean what those predefined opcodes are supposed to mean -->
<event value="1" version="0" level="win:Informational" template="GCStart" keywords="GCKeyword" opcode="win:Start" task="GarbageCollection" symbol="GCStart" message="$(string.RuntimePublisher.GCStartEventMessage)"/>
..[생략]...
<!-- CLR Exception events -->
<event value="80" version="0" level="win:Informational" opcode="win:Start" task="Exception" symbol="ExceptionThrown" message="$(string.RuntimePublisher.ExceptionExceptionThrownEventMessage)"/>
<event value="80" version="1" level="win:Error" template="Exception" keywords="ExceptionKeyword MonitoringKeyword" opcode="win:Start" task="Exception" symbol="ExceptionThrown_V1" message="$(string.RuntimePublisher.ExceptionExceptionThrown_V1EventMessage)"/>
<event value="250" version="0" level="win:Informational" template="ExceptionHandling" keywords="ExceptionKeyword" opcode="win:Start" task="ExceptionCatch" symbol="ExceptionCatchStart" message="$(string.RuntimePublisher.ExceptionExceptionHandlingEventMessage)"/>
<event value="251" version="0" level="win:Informational" keywords="ExceptionKeyword" opcode="win:Stop" task="ExceptionCatch" symbol="ExceptionCatchStop" message="$(string.RuntimePublisher.ExceptionExceptionHandlingNoneEventMessage)"/>
<event value="252" version="0" level="win:Informational" template="ExceptionHandling" keywords="ExceptionKeyword" opcode="win:Start" task="ExceptionFinally" symbol="ExceptionFinallyStart" message="$(string.RuntimePublisher.ExceptionExceptionHandlingEventMessage)"/>
<event value="253" version="0" level="win:Informational" keywords="ExceptionKeyword" opcode="win:Stop" task="ExceptionFinally" symbol="ExceptionFinallyStop" message="$(string.RuntimePublisher.ExceptionExceptionHandlingNoneEventMessage)"/>
<event value="254" version="0" level="win:Informational" template="ExceptionHandling" keywords="ExceptionKeyword" opcode="win:Start" task="ExceptionFilter" symbol="ExceptionFilterStart" message="$(string.RuntimePublisher.ExceptionExceptionHandlingEventMessage)"/>
<event value="255" version="0" level="win:Informational" keywords="ExceptionKeyword" opcode="win:Stop" task="ExceptionFilter" symbol="ExceptionFilterStop" message="$(string.RuntimePublisher.ExceptionExceptionHandlingNoneEventMessage)"/>
<event value="256" version="0" level="win:Informational" keywords="ExceptionKeyword" opcode="win:Stop" task="Exception" symbol="ExceptionThrownStop" message="$(string.RuntimePublisher.ExceptionExceptionHandlingNoneEventMessage)"/>
<!-- CLR Contention events -->
..[생략]...
</events>
</provider>
..[생략]...
</resources>
</localization>
</instrumentationManifest>
그래서 Event ID 목록을 man 파일로부터 구하는 것이 가능하지만, 혹시 프로그래밍으로도 가능할까요? 아쉽게도 "
C# - (.NET Core 2.2부터 가능한) 프로세스 내부에서 CLR ETW 이벤트 수신" 글에서 사용한 EventSource 타입으로는 해당 이벤트 목록을 구할 수 공식적인 방법이 없습니다.
대안으로 생각해 볼 수 있는 것이 지난 글의,
C# - ETW 관련 Win32 API 사용 예제 코드 (1)
; https://www.sysnet.pe.kr/2/0/12292#trace_event_cs
TraceEventSession.cs 파일처럼 P/Invoke 호출을 해보는 건데요, 그래서 아래의 함수를 더 추가하면,
TdhEnumerateManifestProviderEvents function (tdh.h)
; https://docs.microsoft.com/en-us/windows/win32/api/tdh/nf-tdh-tdhenumeratemanifestproviderevents
TRACE_PROVIDER_INFO structure (tdh.h)
; https://docs.microsoft.com/en-us/windows/win32/api/tdh/ns-tdh-trace_provider_info
EVENT_DESCRIPTOR structure (evntprov.h)
; https://docs.microsoft.com/en-us/windows/win32/api/evntprov/ns-evntprov-event_descriptor
다음과 같이 코딩해 특정 Keyword에 해당하는 이벤트 ID 목록을 구하는 것이 가능합니다.
EVENT_DESCRIPTOR[] eventDescs = GetEventProviders(guid); // guid == e13c0d23-ccbc-4e12-931b-d9cc2eee27e4 ("Microsoft-Windows-DotNETRuntime")
Console.WriteLine("EventIDs at Keyword == Exception: ");
foreach (EVENT_DESCRIPTOR desc in eventDescs)
{
if ((desc.Keyword & 0x8000) == 0x8000) // 0x8000 == Exception keyword mask
{
Console.WriteLine("\t" + desc);
}
}
/* 출력 결과
EventIDs at Keyword == Exception:
250 at 32768
251 at 32768
252 at 32768
253 at 32768
254 at 32768
255 at 32768
256 at 32768
80 at 8589967360
*/
private static EVENT_DESCRIPTOR[] GetEventProviders(Guid guid)
{
uint bufSize = 0;
int result = 0;
IntPtr ptr = IntPtr.Zero;
try
{
do
{
if (bufSize != 0)
{
ptr = Marshal.AllocHGlobal((int)bufSize);
}
result = NativeMethods.TdhEnumerateManifestProviderEvents(ref guid, ptr, ref bufSize);
if (ptr != IntPtr.Zero && result != 0)
{
Marshal.FreeHGlobal(ptr);
ptr = IntPtr.Zero;
}
} while (result == (int)TDHSTATUS.ERROR_INSUFFICIENT_BUFFER);
/* PROVIDER_EVENT_INFO */
int offset = 0;
uint numberOfEvents = (uint)Marshal.ReadInt32(ptr, 0);
offset += sizeof(uint);
// unused
// uint reserved = (uint)Marshal.ReadInt32(ptr, offset);
offset += sizeof(uint);
EVENT_DESCRIPTOR[] descs = new EVENT_DESCRIPTOR[numberOfEvents];
int descSize = Marshal.SizeOf(descs[0]);
int nDesc = (int)((bufSize - offset) / descSize);
Debug.Assert(numberOfEvents == nDesc);
for (int i = 0; i < nDesc; i++)
{
descs[i] = (EVENT_DESCRIPTOR)Marshal.PtrToStructure(ptr + (offset + i * descSize), typeof(EVENT_DESCRIPTOR));
}
return descs;
}
finally
{
if (ptr != IntPtr.Zero)
{
Marshal.FreeHGlobal(ptr);
}
}
}
(
첨부 파일은 이 글의 예제 코드를 포함합니다.)
참고로, PowerShell의
Get-WinEvent를 명령어를 이용해서도 구할 수 있습니다.
PS C:\temp> (Get-WinEvent -ListProvider Microsoft-Windows-DotNETRuntime).Events | Format-Table ID, Keywords
Id Keywords
-- --------
...[생략]...
80 {MonitoringKeyword, ExceptionKeyword}
...[생략]...
250 {ExceptionKeyword}
251 {ExceptionKeyword}
252 {ExceptionKeyword}
253 {ExceptionKeyword}
254 {ExceptionKeyword}
255 {ExceptionKeyword}
256 {ExceptionKeyword}
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]