Udostępnij przez

Sesja śledzenia z rejestratorem jądra NT

Sesja śledzenia rejestratora jądra NT generuje ślad zdarzeń jądra systemu Windows. Jest to zarezerwowana sesja śledzenia wbudowana w system Windows. Tę sesję śledzenia można uruchomić oddzielnie lub uruchomić podczas śledzenia sterownika w celu ujawnienia akcji systemu Windows podczas działania sterownika. Dostawcy śledzenia, tacy jak sterowniki trybu jądra lub aplikacje trybu użytkownika, nie mogą logować się bezpośrednio do tej sesji śledzenia.

Ta sesja śledzenia używa zarezerwowanej nazwy sesji "Rejestrator jądra NT", a identyfikator GUID dostawcy jest reprezentowany przez stałą SystemTraceControlGuid.

Aby utworzyć sesję rejestratora jądra NT, użyj tracelog lub TraceView.

Typy zdarzeń śledzonych podczas sesji śledzenia rejestratora jądra NT są kontrolowane przez wartość członu EnableFlags w strukturze EVENT_TRACE_PROPERTIES. Ta struktura jest opisana w dokumentacji zestawu Microsoft Windows SDK.

Domyślnie, gdy usługa Tracelog uruchamia sesję rejestratora jądra NT, włącza śledzenie procesów, wątków, operacji we/wy dysku fizycznego i zdarzeń TCP/IP. Można jednak włączyć lub wyłączyć śledzenie określonych zdarzeń w następujący sposób:

Dostawca rejestratora jądra NT nie może zalogować się do innych sesji śledzenia, a inni dostawcy śledzenia nie mogą zalogować się do sesji śledzenia rejestratora jądra NT. Nie można użyć parametru -guid podczas uruchamiania sesji śledzenia rejestratora jądra NT i nie można użyć identyfikatora GUID rejestratora jądra NT w parametrze -guid dla standardowej sesji śledzenia.

Aby sformatować komunikaty śledzenia z sesji śledzenia rejestratora jądra NT, użyj tracefmt z plikiem system.tmf. Ten plik znajduje się w zestawie WDK.

Aby śledzić zdarzenia jądra podczas rozruchu systemu, przekonwertuj sesję śledzenia globalnego rejestratora na sesję śledzenia rejestratora jądra NT. Aby uzyskać informacje, zobacz Sesja globalnego rejestratora czasu rozruchu

  • Last updated on