Exemple 12 : démarrage d’une session d’enregistreur d’événements du noyau NT

La commande suivante démarre une session de trace de l’enregistreur d’événements du noyau NT. Étant donné que la session de suivi de l’enregistreur d’événements du noyau NT est la session par défaut, aucun autre paramètre n’est requis.

tracelog -start

Par défaut, les événements process, thread, disk et TCP/IP sont suivis. Pour remplacer les valeurs par défaut, vous pouvez utiliser les paramètres conçus pour la session NT Kernel Logger.

La commande suivante utilise le paramètre -nothread pour désactiver le suivi des événements de thread, le paramètre -hf pour tracer les erreurs de page matérielle et le paramètre -cm pour suivre les événements de Registre. Cet exemple utilise également le paramètre facultatif -ft , qui peut être utilisé dans n’importe quelle session de trace, pour vider les mémoires tampons à un intervalle de temps fixe en plus du vidage automatique qui se produit lorsqu’une mémoire tampon est pleine.

tracelog -start -nothread -hf -cm -ft 2

Vous pouvez également démarrer une session de suivi en temps réel avec l’enregistreur d’événements du noyau NT. La commande suivante démarre une session de suivi en temps réel avec l’enregistreur d’événements du noyau NT. Là encore, comme dans l’exemple précédent, vous pouvez omettre le nom de session, car « NT Kernel Logger » est la valeur par défaut.

tracelog -start -rt

Vous pouvez également utiliser les paramètres personnalisés de l’enregistreur d’événements du noyau NT pour une session de suivi en temps réel, en plus des paramètres permettant de personnaliser les mémoires tampons et la résolution du minuteur.

Pour mettre en forme et afficher les messages de suivi de cette session, utilisez Tracefmt. La commande suivante affiche les messages de trace de la session NT Kernel Logger dans une fenêtre d’invite de commandes. Pour plus d’informations, consultez Tracefmt.

tracefmt -rt -display