Partager via

Session de trace d’enregistreur d’événements global

Une session de suivi Global Logger enregistre les événements qui se produisent pendant le processus de démarrage avant que le système soit entièrement opérationnel, par exemple les événements générés par les pilotes de périphérique. Il s’agit d’une session de trace réservée intégrée à Windows.

Les sessions de suivi Global Logger écrivent toujours des messages dans un journal de suivi. Global Logger ne prend pas en charge les sessions de suivi en temps réel ou les sessions de trace mises en mémoire tampon.

Étant donné que Global Logger doit être disponible au début du processus de démarrage du système d’exploitation, il est démarré et configuré à l’aide d’entrées de Registre (dans la sous-clé HKLM\SYSTEM\CurrentControlSet\Control\WMI\GlobalLogger ), au lieu des appels de fonction. Après avoir démarré, Global Logger se comporte comme une session de suivi d’événements standard.

La session de trace Global Logger utilise un nom de session réservé, « GlobalLogger ». Le GUID de contrôle est représenté par la constante GlobalLoggerGuid. Vous créez une session de trace Global Logger, puis redémarrez l’ordinateur pour démarrer la session de trace. Une seule session de trace Global Logger peut s’exécuter sur l’ordinateur à la fois.

Pour créer une session de trace Global Logger, utilisez Tracelog. Il crée automatiquement la sous-clé de Registre et les entrées qui stockent les options de session de trace. La session de suivi Global Logger démarre lorsque vous redémarrez l’ordinateur. Pour plus d’informations, consultez la syntaxe des commandes Tracelog.

Pour mettre en forme les messages de trace à partir d’une session de trace Global Logger, utilisez Tracefmt avec system.tmf, un fichier de format de message de trace inclus dans wdK.

Étant donné que la session Global Logger est déclenchée par des entrées de Registre, elle s’exécute chaque fois que les entrées apparaissent dans le Registre. Pour empêcher le démarrage de la session Global Logger chaque fois que le système démarre, définissez la valeur de l’entrée de démarrage sur 0 ou supprimez toutes les entrées du Registre.

Vous pouvez convertir une session de trace d’enregistreur d’événements global en session de trace de l’enregistreur d’événements du noyau NT, ce qui permet de tracer le noyau pendant le processus de démarrage. Pour plus d’informations, consultez Session de journalisation globale au démarrage

Les fournisseurs de trace, tels que les pilotes en mode noyau et les applications en mode utilisateur, peuvent se connecter à la session de trace Global Logger. Cela vous permet de suivre un pilote ou un autre fournisseur de trace pendant le démarrage du système. Pour plus d'informations, consultez Journalisation de la session d'enregistreur global

Limitations de la session de journalisation du logger global

La session de trace Global Logger est très utile, mais il est important de connaître ses limitations :

Vous ne pouvez exécuter qu’une seule session Global Logger à la fois.

La session Global Logger n’envoie pas de notification d’activation aux fournisseurs.

Les entrées de Registre Global Logger restent dans le Registre et sont effectives jusqu’à ce que vous les réinitialisiez ou supprimez-les manuellement, ou utilisez la commande tracelog -remove . Jusqu’à ce que vous les réinitialisiez, la session Global Logger démarre chaque fois que vous démarrez le système.

L’enregistreur d’événements ACPI Windows est activé définitivement pour la session de trace Global Logger. Les messages de suivi de cet enregistreur d’événements s’affichent dans le journal des traces.

Si une session de suivi standard démarre pendant qu’un pilote se connecte à la session Global Logger, le pilote bascule et commence à se connecter à la session de trace standard.

Entrées du Registre d’enregistreurs d’événements globaux

Le tableau suivant présente les entrées de Registre qui configurent la session Global Logger. Ces entrées se trouvent dans la sous-clé HKLM\SYSTEM\CurrentControlSet\Control\WMI\GlobalLogger . Seule l’entrée De début est requise.

Outre les entrées de Registre de cette table, vous pouvez également ajouter une sous-clé ControlGUID sous la sous-clé GlobalLogger pour représenter un fournisseur de trace, tel qu’un pilote, qui se connecte à la session de trace Global Logger. Pour plus d’informations, consultez Journalisation à la session d’enregistreurs d’événements globaux.

Entrée Type de données Descriptif

Démarrer

REG_DWORD

Lorsqu’elle est définie sur 1 (activé), la session Global Logger démarre la prochaine fois que le système démarre.

0 = off, 1=on

BufferSize

REG_DWORD

Spécifie la taille de chaque mémoire tampon (en Ko). La valeur par défaut est 0x40 (64 Ko).

ClockType

REG_DWORD

Spécifie le minuteur utilisé pour les horodatages des messages de trace.

À compter de Windows Vista, la valeur par défaut est 1. Sur les systèmes d’exploitation antérieurs à Windows Vista, la valeur par défaut est 2.

1 = Valeur du compteur de performances (haute résolution)

2 = Minuteur système

3 = Horloge du cycle du processeur

EnableKernelFlags

REG_BINARY

Convertit la session Global Logger en session de trace NT Kernel Logger et spécifie les événements inclus dans la trace du noyau.

Pour plus d'informations, consultez session globale de journalisation au démarrage.

FileCounter

REG_DWORD

Stocke le nombre de fichiers journaux de suivi des événements générés par les sessions Global Logger.

Le système incrémente cette valeur jusqu’à ce qu’elle atteigne la valeur de FileMax. Ensuite, elle réinitialise la valeur à 0.

Ce compteur empêche le système de remplacer un fichier journal de trace Global Logger.

FileMax

REG_DWORD

Spécifie le nombre maximal de fichiers journaux de suivi des événements autorisés sur le système.

Lorsque le nombre de journaux de trace atteint le maximum spécifié, le système commence à remplacer les journaux, en commençant par le plus ancien.

La valeur par défaut est 0, ce qui signifie qu’il n’y a pas de maximum.

NomDeFichier

REG_SZ

Chemin d’accès (facultatif) et nom de fichier du fichier journal de suivi des événements. La valeur par défaut est %SystemRoot%\System32\LogFiles\WMI\trace.log.

FlushTimer

REG_DWORD

Spécifie la fréquence (en secondes) à laquelle les mémoires tampons de trace sont obligatoirement vidées. Ce vidage forcé est en plus du vidage automatique qui se produit chaque fois qu’une mémoire tampon est pleine et lorsque la session de trace s’arrête.

La valeur par défaut est 0. Par défaut, les mémoires tampons sont vidées uniquement lorsqu’elles sont pleines.

La durée minimale de vidage est de 1 seconde.

LogFileMode

REG_DWORD

Spécifie les options de session de journal.

Pris en charge uniquement dans Windows Vista et les versions ultérieures de Windows.

MaximumBuffers

REG_DWORD

Spécifie le nombre maximal de mémoires tampons qui peuvent être allouées pour la session. La valeur par défaut est 0x19 (25).

MaximumFileSize

REG_DWORD

Spécifie la taille maximale du fichier journal de suivi des événements. Par défaut, il n’existe aucune taille de fichier maximale.

MinimumBuffers

REG_DWORD

Spécifie le nombre de mémoires tampons allouées au démarrage de la session. La valeur par défaut est 0x3.

État

REG_DWORD

Stocke le code de retour à partir de la tentative de démarrage d’une session de trace Global Logger.

Si la session n’a pas pu démarrer, la valeur de cette entrée est un code d’erreur Win32. Si la session a démarré, la valeur de cette entrée est ERROR_SUCCESS.

Ces entrées de Registre que vous créez restent dans le Registre et sont effectives jusqu’à ce que vous les supprimiez ou modifiez leurs valeurs. Par conséquent, une fois la session Global Logger exécutée, utilisez le journal des traces -remove commande GlobalLogger pour définir la valeur de l’entrée de démarrage sur 0 et supprimer les autres entrées de Registre Global Logger. Sinon, la session Global Logger s’exécute chaque fois que vous redémarrez l’ordinateur, et le fichier journal résultant peut croître très volumineux.

Constantes en mode journalisation

Le tableau suivant affiche les valeurs valides pour l’entrée de Registre LogFileMode dans la sous-clé HKLM\System\CurrentControlSet\Control\WMI\GlobalLogger . Cette entrée permet de définir des options pour une session de trace Global Logger, y compris celles des sessions de suivi en temps réel, des sessions de trace privées, la journalisation circulaire et la mise en mémoire tampon (aucun journal). Cette entrée de Registre est prise en charge uniquement dans Windows Vista et les versions ultérieures de Windows.

Cette entrée de Registre correspond au membre LogFileMode de la structure EVENT_TRACE_PROPERTIES. Ses valeurs correspondent aux constantes du mode de journalisation. La structure EVENT_TRACE_PROPERTIES et les constantes en mode journalisation sont décrites dans la documentation du Kit de développement logiciel (SDK) Microsoft Windows.

Ce tableau s’affiche ici pour afficher les valeurs hexadécimales des constantes. Utilisez ces valeurs ou une somme de ces valeurs pour représenter la constante dans l’entrée de Registre LogFileMode .

Valeur Constante Descriptif

0x0

EVENT_TRACE_FILE_MODE_NONE

Aucun fichier journal de suivi des événements n’est créé.

0x1

EVENT_TRACE_FILE_MODE_SEQUENTIAL (mode de fichier trace séquentiel)

Les fichiers journaux de suivi des événements sont séquentiels.

0x2

EVENT_TRACE_FILE_MODE_CIRCULAR

Les fichiers journaux de suivi des événements sont circulaires.

0x4

EVENT_TRACE_FILE_MODE_APPEND

Ajoutez des messages de trace à un fichier journal existant. Ce mode est valide uniquement avec les fichiers séquentiels.

0x8

EVENT_TRACE_FILE_MODE_NEWFILE

Créez un fichier journal de suivi des événements chaque fois que le fichier existant atteint la valeur de l’entrée MaximumFileSize (voir le tableau ci-dessus).

0x20

EVENT_TRACE_FILE_MODE_PREALLOCATE

Réserve de l’espace pour le fichier journal de suivi des événements.

Valide uniquement avec EVENT_TRACE_FILE_MODE_SEQUENTIAL ou EVENT_TRACE_FILE_MODE_CIRCULAR, et non valide avec EVENT_TRACE_FILE_MODE_NEWFILE.

0x40

EVENT_TRACE_NONSTOPPABLE_MODE

Un appel à StopTrace n’arrête pas la session de trace.

Cette fonctionnalité empêche les utilisateurs d’arrêter les sessions de suivi requises par le système pour le diagnostic et le réglage.

0x100

EVENT_TRACE_REAL_TIME_MODE

Spécifie une session de trace en temps réel.

0x200

EVENT_TRACE_DELAY_OPEN_FILE_MODE

Pour une utilisation interne uniquement.

0x400

EVENT_TRACE_BUFFERING_MODE

Les événements sont conservés dans les mémoires tampons. Ils ne sont jamais écrits dans un journal d'événements ou remis à un destinataire de trace.

0x800

EVENT_TRACE_PRIVATE_LOGGER_MODE

Spécifie une session de trace privée. Cet indicateur n’est pas valide pour une session de trace Global Logger.

0x1000

Mode d'ajout d'en-tête d'événement (EVENT_TRACE_ADD_HEADER_MODE)

Pour une utilisation interne uniquement.

0x2000

EVENT_TRACE_USE_KBYTES_FOR_SIZE

Interpréter la valeur de MaximumFileSize en Ko, au lieu de Mo.

0x4000

EVENT_TRACE_USE_GLOBAL_SEQUENCE

Génère des numéros de séquence globaux pour les messages de trace. Ces numéros sont uniques pour toutes les sessions de suivi sur l’ordinateur.

Par défaut, les messages de suivi n’ont aucun numéro de séquence.

0x8000

EVENT_TRACE_USE_LOCAL_SEQUENCE

Génère des numéros de séquence locaux pour les messages de trace. Ces nombres sont uniques dans la session de trace.

Par défaut, les messages de suivi n’ont aucun numéro de séquence.

0x10000

EVENT_TRACE_RELOG_MODE

Pour une utilisation interne uniquement.

0x80000

EVENT_TRACE_KD_FILTER_MODE

Redirige les messages de trace vers le débogueur du noyau et définit la taille de la mémoire tampon de trace sur 3 Ko, la taille maximale de la mémoire tampon pour le débogueur.

0x1000000

MODE_TRACE_ÉVÉNEMENT_RÉSERVÉ

Non valide pour une session de trace Global Logger.

0x01000000

EVENT_TRACE_USE_PAGED_MEMORY

Allouez des mémoires tampons de session de trace à partir de la mémoire paginable. Par défaut, les mémoires tampons sont allouées à partir de mémoire nonpageable.
  • Last updated on