Compartir a través de


Función StartTraceA (evntrace.h)

La función StartTrace registra e inicia una sesión de seguimiento de eventos.

Importante

Las sesiones de seguimiento de eventos entre procesos son un recurso del sistema limitado. Los desarrolladores deben evitar iniciar sesiones de seguimiento de eventos en máquinas cliente. Cuando se necesitan sesiones de seguimiento de eventos, deben limitarse al ámbito más pequeño posible: use el menor número de sesiones posible, use una sesión solo en proceso si es posible (EVENT_TRACE_PRIVATE_LOGGER_MODE | EVENT_TRACE_PRIVATE_IN_PROC), inicie solo el seguimiento cuando se necesite específicamente la recopilación para un escenario, detenga el seguimiento tan pronto como se complete el escenario, limite la cantidad de memoria usada por la sesión, y usan filtros de eventos estrictos para que no recopile eventos innecesarios.

Sintaxis

ULONG WMIAPI StartTraceA(
            CONTROLTRACE_ID         *TraceId,
  [in]      LPCSTR                  InstanceName,
  [in, out] PEVENT_TRACE_PROPERTIES Properties
);

Parámetros

TraceId

[in] InstanceName

Cadena terminada en NULL que contiene el nombre de la sesión de seguimiento de eventos. El nombre de sesión está limitado a 1024 caracteres, no distingue mayúsculas de minúsculas y debe ser único.

Importante

Use un nombre descriptivo para la sesión para que la propiedad y el uso de la sesión se puedan determinar a partir del nombre de la sesión. No use un GUID u otro valor no determinista o no descriptivo. No anexe dígitos aleatorios para que el nombre de la sesión sea único. Las sesiones ETW son un recurso limitado, por lo que el componente no debe iniciar varias sesiones. Si la sesión del componente ya se está ejecutando cuando se inicia el componente, el componente debe limpiar la sesión huérfana en lugar de crear una segunda sesión.

Esta función copia el nombre de sesión que se proporciona al desplazamiento al que apunta el miembro LoggerNameOffset de Properties .

[in, out] Properties

Puntero a una estructura EVENT_TRACE_PROPERTIES que especifica el comportamiento de la sesión. A continuación se muestran los miembros clave de la estructura que se van a establecer:

  • Wnode.BufferSize
  • Wnode.Guid
  • Wnode.ClientContext
  • Wnode.Flags
  • LogFileMode
  • LogFileNameOffset
  • LoggerNameOffset

Según el tipo de archivo de registro que elija crear, es posible que también tenga que especificar un valor para MaximumFileSize. Consulte la sección Comentarios para obtener más información sobre cómo establecer el parámetro Properties y el comportamiento de la sesión.

A partir de Windows 10, versión 1703: Para mejorar el rendimiento en escenarios de procesos cruzados, ahora puede pasar el filtrado a StartTrace al iniciar registradores privados en todo el sistema. Tendrá que pasar la nueva estructura de EVENT_TRACE_PROPERTIES_V2 para incluir información de filtrado. Consulte Configuring and Starting a Private Logger Session (Configuración e inicio de una sesión de registrador privado ) para obtener más detalles.

Valor devuelto

Si la función se ejecuta correctamente, el valor devuelto es ERROR_SUCCESS.

Si se produce un error en la función, el valor devuelto es uno de los códigos de error del sistema. A continuación se muestran algunos errores comunes y sus causas.

  • ERROR_BAD_LENGTH

    Una de las siguientes condiciones se cumple:

    • El miembro Wnode.BufferSize de Properties especifica un tamaño incorrecto.
    • Las propiedades no tienen espacio suficiente asignado para contener una copia de InstanceName.
  • ERROR_INVALID_PARAMETER

    Una de las siguientes condiciones se cumple:

    • Las propiedades son NULL.
    • TraceHandle es NULL.
    • El miembro LogFileNameOffset de Properties no es válido.
    • El miembro LoggerNameOffset de Properties no es válido.
    • El miembro LogFileMode de Properties especifica una combinación de marcas que no es válida.
    • El miembro Wnode.Guid es SystemTraceControlGuid, pero el parámetro InstanceName no es KERNEL_LOGGER_NAME.
  • ERROR_ALREADY_EXISTS

    Ya se está ejecutando una sesión con el mismo nombre o GUID.

  • ERROR_BAD_PATHNAME

    Puede recibir este error por uno de los siguientes motivos:

    • Otra sesión ya usa el nombre de archivo especificado por el miembro LogFileNameOffset de la estructura Properties .
    • LogFileMode y LogFileNameOffset son cero.
  • ERROR_DISK_FULL

    No hay suficiente espacio disponible en la unidad para el archivo de registro. Esto ocurre si:

    • MaximumFileSize es distinto de cero y no hay bytes MaximumFileSize disponibles para el archivo de registro.
    • la unidad es una unidad del sistema y no hay disponibles más de 200 MB
    • MaximumFileSize es cero y no hay más de 200 MB disponibles

    Elija una unidad con más espacio o reduzca el tamaño especificado en MaximumFileSize (si se usa).

  • ERROR_ACCESS_DENIED

    Solo los usuarios con privilegios administrativos, los usuarios del grupo Usuarios del registro de rendimiento y los servicios que se ejecutan como LocalSystem, LocalService, NetworkService pueden controlar las sesiones de seguimiento de eventos. Para conceder a un usuario restringido la capacidad de controlar las sesiones de seguimiento, agréguelas al grupo Usuarios del registro de rendimiento. Solo los usuarios con privilegios administrativos y servicios que se ejecutan como LocalSystem pueden controlar una sesión del registrador de kernel nt.

    Si el usuario es miembro del grupo Usuarios del registro de rendimiento, es posible que no tenga permiso para crear el archivo de registro en la carpeta especificada.

  • ERROR_NO_SYSTEM_RESOURCES

    Una de las siguientes condiciones se cumple:

    • La sesión de registro usa la marca EVENT_TRACE_SYSTEM_LOGGER_MODE y se ha alcanzado el número máximo de registradores del sistema (8).

    • Se ha alcanzado el número máximo de sesiones de registro en el sistema. No se pueden crear registradores nuevos hasta que se haya detenido una sesión de registro. En la mayoría de los sistemas, el número máximo de sesiones de registro es 64.

      Puede cambiar el número máximo de sesiones de registro de un sistema editando la clave de REG_DWORD en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI@EtwMaxLoggers. Los valores permitidos son de 32 a 256, ambos incluidos. Se requiere un reinicio para que cualquier cambio surta efecto.

      Tenga en cuenta que los registradores usan recursos del sistema. El aumento del número de registradores en el sistema tendrá un costo de rendimiento si se rellenan esas ranuras. Este límite existe para evitar el uso excesivo de los recursos del sistema.

      Importante

      El límite solo se debe ajustar manualmente por un administrador del sistema para habilitar escenarios específicos. El valor EtwMaxLoggers no se debe modificar automáticamente mediante un programa o controlador.

      Antes de Windows 10, versión 1709, se trata de un límite fijo de 64 registradores para registradores que no son privados.

Comentarios

Los controladores de seguimiento de eventos llaman a esta función.

La sesión permanece activa hasta que se detiene la sesión, se reinicia el equipo, se produce un error de E/S o se alcanza el tamaño máximo del archivo para los registros no circulares. Para detener una sesión de seguimiento de eventos, llame a la función ControlTrace y establezca el parámetro ControlCodeen EVENT_TRACE_CONTROL_STOP.

No se puede iniciar más de una sesión con el mismo GUID de sesión (especificado por Properties.Wnode.Guid). En la mayoría de los casos, se establecerá Properties.Wnode.Guid en all-zero (es decir , GUID_NULL) para permitir que el sistema ETW genere un nuevo GUID para la sesión.

Para especificar una sesión de registrador privado, establezca el miembro Wnode.Guid de Propiedades en el GUID de control del proveedor, no en el GUID de control de la sesión del registrador privado. El proveedor debe haber registrado el GUID antes de llamar a StartTrace.

No se usa esta función para iniciar una sesión de registrador global (en desuso). Para obtener más información sobre cómo iniciar una sesión de registrador global, consulte Configuring and Starting the Global Logger Session.

Registradores del sistema

Para que el registrador sea un registrador del sistema y reciba eventos de SystemTraceProvider u otros proveedores del sistema, cualquiera de los siguientes debe ser true:

  • El miembro PropertiesLogFileMode incluye la marca EVENT_TRACE_SYSTEM_LOGGER_MODE (preferida).
  • El miembro PropertiesWnode.Guid se establece en SystemTraceControlGuid o GlobalLoggerGuid (en desuso, no se debe usar para el nuevo código porque entra en conflicto con otros componentes que también intentan usar estos GUID).
  • InstanceName se establece en KERNEL_LOGGER_NAME (en desuso, no se debe usar para el nuevo código porque entra en conflicto con otros componentes que también intentan usar este nombre).

Nota

 Un registrador del sistema debe establecer el miembro EnableFlags de la estructura EVENT_TRACE_PROPERTIES para indicar qué eventos SystemTraceProvider deben incluirse en el seguimiento.

Dado que los registradores del sistema reciben eventos de kernel especiales, están sujetos a restricciones adicionales:

  • No puede haber más de 8 registradores del sistema activos en el mismo sistema.
  • Los registradores del sistema no se pueden crear en un contenedor de Windows Server.
  • Los registradores del sistema no pueden usar la marca EVENT_TRACE_USE_PAGED_MEMORY .
  • Antes de Windows 10, versión 1703, los registradores del sistema no pueden usar simultáneamente más de 2 tipos de reloj distintos. Por ejemplo, si un registrador activo del sistema usa el tipo de reloj "Contador de ciclo de CPU" y otro registrador del sistema activo usa el tipo de reloj "Contador de rendimiento de consultas", cualquier intento de iniciar un registrador del sistema con el tipo de reloj "Hora del sistema" producirá un error porque requeriría la activación de un tercer tipo de reloj. Debido a esta limitación, Microsoft recomienda encarecidamente que los registradores del sistema no usen el tipo de reloj "Hora del sistema".
  • A partir de Windows 10, versión 1703, se ha quitado la restricción de tipo de reloj. Los registradores del sistema pueden usar los tres tipos de reloj simultáneamente.

Para especificar una sesión nt kernel logger (en desuso), establezca InstanceNameen KERNEL_LOGGER_NAME y el miembro Wnode.Guid de Properties en SystemTraceControlGuid. Si no especifica el GUID como SystemTraceControlGuid, ETW invalidará el valor guid y lo establecerá en SystemTraceControlGuid.

Ejemplos

Para obtener un ejemplo que usa StartTrace, vea Configuring and Starting an Event Tracing Session.

Nota

El encabezado evntrace.h define StartTrace como alias que selecciona automáticamente la versión ANSI o Unicode de esta función en función de la definición de la constante de preprocesador UNICODE. La combinación del uso del alias neutral de codificación con código que no es neutral de codificación puede dar lugar a errores de coincidencia que dan lugar a errores de compilación o tiempo de ejecución. Para obtener más información, vea Convenciones para prototipos de función.

Requisitos

Requisito Value
Cliente mínimo compatible Windows Vista [aplicaciones de escritorio | aplicaciones para UWP]
Servidor mínimo compatible Windows Server 2008 [aplicaciones de escritorio | aplicaciones para UWP]
Plataforma de destino Windows
Encabezado evntrace.h
Library Sechost.lib en Windows 8.1 y Windows Server 2012 R2; Advapi32.lib en Windows 8, Windows Server 2012, Windows 7, Windows Server 2008 R2, Windows Server 2008, Windows Vista
Archivo DLL Sechost.dll en Windows 8.1 y Windows Server 2012 R2; Advapi32.dll en Windows 8, Windows Server 2012, Windows 7, Windows Server 2008 R2, Windows Server 2008, Windows Vista

Consulte también

ControlTrace

EVENT_TRACE_PROPERTIES