NT 核心追蹤記錄器會產生 Windows 核心事件的追蹤資料。 這是內建於 Windows 中的保留追蹤會話。 您可以個別執行此追蹤會話,或在追蹤驅動程式時執行它,以顯示驅動程式執行時 Windows 的動作。 追蹤提供者,例如核心模式驅動程式或使用者模式應用程式,無法直接記錄至此追蹤會話。
此追蹤會話會使用保留的工作階段名稱「NT 核心記錄器」,而提供者 GUID 會以常數 SystemTraceControlGuid 表示。
若要建立 NT 核心記錄器會話,請使用 Tracelog 或 TraceView。
在 NT 核心記錄器追蹤會話期間追蹤的事件類型是由 EVENT_TRACE_PROPERTIES 結構的 EnableFlags 成員 值所控制。 Microsoft Windows SDK 檔中會說明此結構。
依預設,當追蹤日誌啟動 NT 核心記錄器會話時,它會啟用處理程序、執行緒、實體磁碟 I/O 和 TCP/IP 事件的追蹤。 不過,您可以透過下列方式啟用或停用特定事件的追蹤:
使用 Tracelog 命令列參數。 如需詳細資訊,請參閱 Tracelog 命令語法。
透過在 TraceView GUI 中設置勾選框。
NT 核心記錄器提供者無法記錄至其他追蹤會話,而其他 追蹤提供者 無法記錄至 NT 核心記錄器追蹤會話。 啟動 NT 核心記錄器追蹤會話時,您無法使用 -guid 參數,也無法在標準追蹤會話的 -guid 參數中使用 NT 核心記錄器追蹤會話的 GUID。
若要格式化 NT 核心記錄器追蹤會話的追蹤訊息,請搭配 system.tmf 檔案使用 Tracefmt。 此檔案包含在 WDK 中。
若要在系統開機期間追蹤核心事件,請將全域記錄器追蹤會話 (在系統開機期間進行追蹤) 轉換為 NT 核心記錄器追蹤會話。 如需相關資訊,請參閱開機時全域記錄器會話