Sesión de seguimiento del registrador de kernel de NT

La sesión de seguimiento del registrador de kernel de NT genera un seguimiento de eventos de kernel de Windows. Se trata de una sesión de seguimiento reservada integrada en Windows. Puede ejecutar esta sesión de seguimiento por separado o ejecutarla durante el seguimiento de un controlador para mostrar las acciones de Windows mientras se ejecuta el controlador. Los proveedores de seguimiento, como los controladores de modo kernel o las aplicaciones en modo de usuario, no pueden iniciar sesión directamente en esta sesión de seguimiento.

Esta sesión de seguimiento usa un nombre de sesión reservado, "Registrador de kernel nt" y el GUID del proveedor se representa mediante la constante SystemTraceControlGuid.

Para crear una sesión de registrador de kernel de NT, use Tracelog o TraceView.

Los tipos de eventos rastreados durante una sesión de seguimiento del registrador de kernel nt se controlan mediante el valor del miembro EnableFlags de la estructura EVENT_TRACE_PROPERTIES. Esta estructura se describe en la documentación de Microsoft Windows SDK.

De forma predeterminada, cuando Tracelog inicia una sesión de registrador de kernel nt, habilita el seguimiento de eventos de proceso, subproceso, E/S de disco físico y TCP/IP. Sin embargo, puede habilitar o deshabilitar el seguimiento de eventos específicos de las siguientes maneras:

• Mediante el uso de parámetros de línea de comandos de Tracelog. Para obtener más información, vea Sintaxis de comandos de Tracelog.

• Al establecer casillas en la GUI de TraceView .

El proveedor del registrador de kernel de NT no puede iniciar sesión en otras sesiones de seguimiento y otros proveedores de seguimiento no pueden iniciar sesión en la sesión de seguimiento del registrador de kernel de NT. No puede usar el parámetro -guid al iniciar una sesión de seguimiento del registrador de kernel de NT y no puede usar el GUID de la sesión de seguimiento del registrador de kernel nt en el parámetro -guid para una sesión de seguimiento estándar.

Para dar formato a los mensajes de seguimiento desde la sesión de seguimiento del registrador de kernel nt, use Tracefmt con el archivo system.tmf. Este archivo se incluye en el WDK.

Para realizar un seguimiento de los eventos de kernel durante el arranque del sistema, convierta una sesión de seguimiento del registrador global, que realiza un seguimiento durante el arranque del sistema, en una sesión de seguimiento del registrador de kernel nt. Para obtener información, consulte Sesión de registrador global en tiempo de arranque.