Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die NT Kernel Logger Tracer-Sitzung erzeugt eine Protokollierung von Windows-Kernelereignissen. Es handelt sich um eine reservierte Protokollierungssitzung, die in Windows enthalten ist. Sie können diese Ablaufverfolgungssitzung separat ausführen oder sie während der Ablaufverfolgung eines Treibers nutzen, um die Aktionen von Windows anzuzeigen, während der Treiber ausgeführt wird. Ablaufverfolgungsanbieter wie Kernelmodustreiber oder Benutzermodusanwendungen können sich nicht direkt bei dieser Ablaufverfolgungssitzung protokollieren.
Diese Trace-Sitzung verwendet den reservierten Namen "NT Kernel Logger", und die Anbieter-GUID wird durch die Konstante SystemTraceControlGuid dargestellt.
Um eine NT Kernel Logger-Sitzung zu erstellen, verwenden Sie Tracelog oder TraceView.
Die Typen von Ereignissen, die während einer NT Kernel Logger-Ablaufverfolgungssitzung nachverfolgt werden, werden durch den Wert des EnableFlags-Elements der EVENT_TRACE_PROPERTIES-Struktur gesteuert. Diese Struktur wird in der Microsoft Windows SDK-Dokumentation beschrieben.
Wenn Tracelog eine NT Kernel Logger-Sitzung startet, wird standardmäßig die Ablaufverfolgung von Prozess-, Thread-, physischen Datenträger-E/A- und TCP/IP-Ereignissen ermöglicht. Sie können jedoch die Ablaufverfolgung bestimmter Ereignisse auf folgende Weise aktivieren oder deaktivieren:
Mithilfe von Tracelog-Befehlszeilenparametern. Weitere Informationen finden Sie unter Tracelog Command Syntax.
Durch Festlegen von Kontrollkästchen in der TraceView-GUI .
Der NT Kernel Logger-Anbieter kann nicht in andere Ablaufverfolgungssitzungen protokollieren, und andere Ablaufverfolgungsanbieter können nicht in die NT Kernel Logger-Ablaufverfolgungssitzung protokollieren. Sie können den Parameter "-guid " nicht verwenden, wenn Sie eine NT Kernel Logger-Ablaufverfolgungssitzung starten, und Sie können die GUID der NT Kernel Logger-Ablaufverfolgungssitzung nicht im Parameter -guid für eine Standardablaufverfolgungssitzung verwenden.
Um Nachrichten aus der NT Kernel Logger-Trace-Sitzung zu formatieren, verwenden Sie Tracefmt mit der Datei "system.tmf". Diese Datei ist im WDK enthalten.
Um Kernelereignisse während des Systemstarts zu verfolgen, konvertieren Sie eine globale Logger-Ablaufverfolgungssitzung, die während des Systemstarts nachverfolgt wird, in eine NT Kernel Logger-Ablaufverfolgungssitzung. Weitere Informationen finden Sie unter "Global Logger Session zur Startzeit"