E' fondamentalmente un posto dove Windows può dire agli utenti le cose che stanno accadendo nel profondo.
Più precisamente, è il nome di un fornitore di eventi ETW. Il kernel di Windows usa questo provider per inviare messaggi di traccia e altri log in modo che gli amministratori di Windows possano leggerli e analizzarli.
Gli amministratori di Windows sanno come accedere a questo log e dargli un senso.
Windows fornisce un insieme di Apis progettati per rendere veloce e facile registrare tracce e altri eventi. Questa tecnologia è chiamata ETW (event tracing for windows). Questa API è descritta qui Event Tracing (Windows)
ETW accetta eventi (alias tracce) da uno o più fornitori di eventi. Ogni fornitore di eventi deve avere un nome unico sul sistema.
Questo "Microsoft-Windows-Kernel" è il nome del fornitore di eventi Kernel di Windows. Il nome ricorda agli utenti che questo specifico fornitore di eventi è fatto da Microsoft e riguarda il Kernel di Windows. Il "-" funge da separatore un po' come ". " funge da separatore nei nomi di dominio.
Il "/Admin" rappresenta il canale ETW. In ETW, un canale è un lavandino che raccoglie eventi per un pubblico specifico. In questo caso il canale "Admin", che tipicamente porta eventi di interesse per un amministratore di sistema.
Ci sono altri canali come "debug" destinato a portare tracce utili per uno sviluppatore.