C# - ETW 이벤트의 Keywords에 속한 EventId 구하는 방법 (2) 관리 코드
지난 글에서,
C# - ETW 이벤트의 Keywords에 속한 EventId 구하는 방법 (1) PInvoke
; https://www.sysnet.pe.kr/2/0/12612
PInvoke를 활용해 ETW의 Keyword에 속한 이벤트 목록을 구했는데요, 이게 좀 아쉬운 면이 있다면 사실 "
C# - (.NET Core 2.2부터 가능한) 프로세스 내부에서 CLR ETW 이벤트 수신"은 제목에서처럼 .NET Framework 대상이 아닌 .NET Core 2.2부터 가능한 기능입니다. 그런 면에서 리눅스를 대상으로 작성될 가능성도 적지 않은데 그런 상황에서 PInvoke를 사용하는 것은 바람직한 선택은 아닙니다.
여기서 더욱 아쉬운 면이 있다면, (지난 글에도 언급했지만) 순수하게 C# 코드만으로는 공식적으로 Event ID를 구할 수 있는 방법이 없다는 것인데요, 그래서 안정적인 코드를 사용해야 한다면 미리 이벤트 ID 목록을 알아내 하드 코딩하는 것이 현재로서는 최선입니다.
그나마 다행이라면, "비공식적인 방법"으로는 Event ID 목록을 구할 수는 있습니다.
왜냐하면,
EventSource 타입은 내부에 private 필드로는
CLR-ETW.man에 지정된 이벤트 목록을 System.Diagnostics.Tracing.EventSource.EventMetadata 타입의 배열로 들고 있기 때문입니다. 그래서 다음과 같은 절차의 Reflection 연산을 통해 이 목록을 구할 수 있습니다. ^^
internal class MyEventListener : EventListener
{
// https://docs.microsoft.com/en-us/dotnet/framework/performance/clr-etw-keywords-and-levels
public const int GCKEYWORD = 0x00000001;
public const int EXCEPTIONKEYWORD = 0x00008000;
protected override void OnEventSourceCreated(EventSource eventSource)
{
if (eventSource.Name == "Microsoft-Windows-DotNETRuntime")
{
base.OnEventSourceCreated(eventSource);
EnableEvents(eventSource, EventLevel.Informational, (EventKeywords)EXCEPTIONKEYWORD);
ListEventID(eventSource, EXCEPTIONKEYWORD);
return;
}
}
private void ListEventID(EventSource eventSource, int filterKeyword)
{
Type type = eventSource.GetType();
FieldInfo fi = type.GetField("m_eventData", System.Reflection.BindingFlags.NonPublic | System.Reflection.BindingFlags.Instance);
if (fi != null)
{
object objMetadataArray = fi.GetValue(eventSource); // System.Diagnostics.Tracing.EventSource.EventMetadata []
System.Collections.IEnumerable enumerator = objMetadataArray as System.Collections.IEnumerable;
foreach (object objItem in enumerator)
{
object descriptor = GetDescriptor(objItem);
if (descriptor == null)
{
continue;
}
(long keyword, int eventId) = GetKeywordAndEventId(descriptor);
if (((int)keyword & filterKeyword) == filterKeyword)
{
Console.WriteLine($"{filterKeyword} == {eventId}");
}
}
}
}
private (long, int) GetKeywordAndEventId(object descriptor, out int eventId)
{
object keyword = GetPropertyReflect(descriptor, "Keywords");
object eventValue = GetPropertyReflect(descriptor, "EventId");
if (keyword == null || eventValue == null)
{
return (0, 0);
}
return ((long)keyword, (int)eventValue);
}
private object GetDescriptor(object objItem)
{
return GetFieldReflect(objItem, "Descriptor");
}
object GetPropertyReflect(object obj, string propertyName)
{
Type type = obj.GetType();
PropertyInfo pi = type.GetProperty(propertyName, BindingFlags.Public | BindingFlags.Instance);
if (pi != null)
{
return pi.GetValue(obj);
}
return null;
}
object GetFieldReflect(object obj, string fieldName)
{
Type type = obj.GetType();
FieldInfo fi = type.GetField(fieldName, BindingFlags.Public | BindingFlags.Instance);
if (fi != null)
{
return fi.GetValue(obj);
}
return null;
}
protected override void OnEventWritten(EventWrittenEventArgs eventData)
{
Console.WriteLine($"{DateTime.Now}: {eventData.EventName}");
}
}
/* 출력 결과
32768 == 80
32768 == 250
32768 == 251
32768 == 252
32768 == 253
32768 == 254
32768 == 255
32768 == 256
*/
(
첨부 파일은 이 글의 예제 코드를 포함합니다.)
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]