Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La session de trace de l’enregistreur d’événements du noyau NT génère une trace des événements de noyau Windows. Il s’agit d’une session de trace réservée intégrée à Windows. Vous pouvez exécuter cette session de trace séparément ou l’exécuter lors du suivi d’un pilote pour révéler les actions de Windows pendant l’exécution du pilote. Les fournisseurs de trace, tels que les pilotes en mode noyau ou les applications en mode utilisateur, ne peuvent pas se connecter directement à cette session de suivi.
Cette session de trace utilise un nom de session réservé, « NT Kernel Logger », et le GUID du fournisseur est représenté par la constante , SystemTraceControlGuid.
Pour créer une session d’enregistreur d’événements de noyau NT, utilisez Tracelog ou TraceView.
Les types d’événements suivis pendant une session de trace NT Kernel Logger sont contrôlés par la valeur du membre EnableFlags de la structure EVENT_TRACE_PROPERTIES. Cette structure est décrite dans la documentation du Kit de développement logiciel (SDK) Microsoft Windows.
Par défaut, lorsque Tracelog démarre une session d’enregistreur d’événements de noyau NT, il active le suivi des événements de processus, de thread, d’E/S de disque physique et TCP/IP. Toutefois, vous pouvez activer ou désactiver le suivi d’événements spécifiques de la manière suivante :
À l’aide des paramètres de ligne de commande Tracelog. Pour plus d’informations, consultez la syntaxe des commandes Tracelog.
En définissant des cases à cocher dans l’interface graphique graphique TraceView .
Le fournisseur NT Kernel Logger ne peut pas se connecter à d’autres sessions de trace, et d’autres fournisseurs de trace ne peuvent pas se connecter à la session de trace de l’enregistreur d’événements du noyau NT. Vous ne pouvez pas utiliser le paramètre -guid lors du démarrage d’une session de trace de l’enregistreur d’événements du noyau NT, et vous ne pouvez pas utiliser le GUID de la session de trace NT Kernel Logger dans le paramètre -guid pour une session de trace standard.
Pour mettre en forme les messages de trace à partir de la session de trace de l’enregistreur d’événements du noyau NT, utilisez Tracefmt avec le fichier system.tmf. Ce fichier est inclus dans wdK.
Pour suivre les événements de noyau pendant le démarrage du système, convertissez une session de trace Global Logger, qui suit pendant le démarrage du système, en session de trace de l’enregistreur d’événements du noyau NT. Pour plus d’informations, consultez Session de journalisation globale au démarrage