Windows事件日志：它的操作速度有多快？

不要这样做。事件日志不是为这样的活动而设计的：

1. 它有一个最大大小。
2. 当达到最大大小时，它可以根据设置覆盖事件或停止记录（最近的Windows还可以归档日志并启动新日志）。如果事件没有被覆盖，它们可能会填满您的分区或阻止其他应用程序，直到手动清除日志。

事件日志不是通用的日志记录设施。它应该用于报告错误、需要关注的情况，甚至是信息性报告，但不是每一点点的信息都必须写在那里。如果您有重要的日志需求，请使用自己的日志设施，并在事件日志中报告问题（如果有），并指出详细数据的“指针”。

注意：如果真的需要事件日志，至少应用程序应该使用自己的日志目标，而不是标准目标之一（应用程序或更糟糕的系统）。这样就不会影响其他应用程序的操作，并且不会通过其事件“淹没”日志来“隐藏”其他应用程序事件，使得更难以发现其他应用程序事件而不查找它们。

Windows事件跟踪可能是这种流量级别更好的存储库。

Windows事件跟踪(ETW)是一种高效的内核级追踪工具，它可以让您记录内核或应用程序定义的事件到日志文件中。您可以实时消耗事件或从日志文件中使用它们来调试应用程序或确定应用程序中发生性能问题的位置。

示例伪代码：

const 
    MyApplicationProviderGUID: TGUID = '{47A0DECE-4DCF-4782-BCF4-82AECA6BAAB7}';
private
   FETWRegistrationHandle: THandle;

...

EventRegister(MyApplicationProviderGUID, nil, nil, {out}FETWRegistrationHandle);
...
EventWriteString(FETWRegistrationHandle, 0, 0, 'Hello');
EventWriteString(FETWRegistrationHandle, 0, 0, ', ');
EventWriteString(FETWRegistrationHandle, 0, 0, 'world');
EventWriteString(FETWRegistrationHandle, 0, 0, '!');
...
EventUnregister(MyApplicationProviderGUID);

我使用了两种事件日志类进行测试，一种将日志写入文件（每个log_event()都会写入并刷新已打开的文件），另一种基于EventLog（在已注册的EventSource上调用ReportEvent()）。在我的情况下，文件日志比EventLog快约10倍。在多线程环境中，我会添加关键部分以保护对文件的写入。
在我看来，文件更好：它们可以轻松地在grep等工具中解析。速度对我来说不那么重要。

也许 Microsoft Message Queuing (MSMQ) 是 Windows EventLog 的替代品。它在所有当前版本的 Windows 中都可用，并提供高速、松散耦合的消息传递。